OSX/Dok — что это и как полностью удалить этот опасный троян на Mac

OSX/Dok — современная форма трояна для macOS, пришедшая через фишинговые письма. В отличие от давно устоявшего мифа о «неуязвимости» Mac, этот вредонос может получить административные права и перенастроить сеть так, чтобы весь ваш трафик проходил через сервер злоумышленника. Ниже — полное руководство по распознаванию, удалению и защите.

Как работает OSX/Dok

Кратко: вредонос приходит в ZIP-файле (обычно Dokument.zip). При попытке открыть архив появляется поддельное сообщение «пакет повреждён», в фоновом режиме вредонос копирует себя в /Users/Shared и просит разрешение установки от «подписанного» разработчика. После этого он заменяет Login Item для AppStore, чтобы запускаться при старте системы, просит ваш админ-пароль под предлогом «обновления безопасности», получает права администратора и переписывает сетевые настройки — настраивает автоматическую прокси-конфигурацию и перенаправляет весь трафик через контролируемый сервер. Это позволяет перехватывать и подменять сайты с помощью поддельных сертификатов.

Важно: злоумышленники использовали обфускацию, чтобы избежать детектирования антивирусами, и даже после отзыва одного подписи разработчика они регистрировали новый идентификатор.

Источник расследования: публикации отраслевых исследователей (например, Check Point) описывают технику работы и поведение OSX/Dok.

Почему это серьёзно

• Троян получает административные права и полный контроль над системой.
• Меняет настройки сети, что позволяет перехватывать все данные.
• Доказывает, что система подписей приложений не всегда гарантирует безопасность.

Важно: даже если Apple отозвала один сертификат, заражение возможно через установку ПО от непроверенных разработчиков — эта вектор остаётся актуальным.

Подготовка перед удалением

Прежде чем начать: закройте все приложения, особенно браузеры (Safari, Chrome, Firefox). Если процесс завис, завершите его: «Quit» или «Force Quit».

Примечание: если вы не уверены в своих действиях, сделайте резервную копию важных данных на внешний диск или в облако перед чисткой.

Шаг 1. Удаление прокси-конфигурации

1. Откройте Системные настройки (System Preferences) — проще всего через Spotlight.
2. Перейдите в раздел «Сеть» (Network).
3. Выберите текущее интернет-соединение слева (Wi‑Fi или Ethernet).
4. Нажмите «Дополнительно…» (Advanced…).
5. Перейдите на вкладку «Прокси» (Proxies).
6. Выберите слева «Автоматическая настройка прокси» (Automatic Proxy Configuration). В поле URL удалите адрес прокси (часто это http://127.0.0.1:5555… при заражении). Сохраните изменения.

Проверка через терминал (опционально): можно просмотреть настройки через networksetup, например:

• Показать сервисы: sudo networksetup -listallnetworkservices
• Убедиться в отсутствии PAC: networksetup -getautoproxyurl “Wi-Fi”

(Не выполняйте команды, если не уверены — используйте графический интерфейс.)

Шаг 2. Удаление вредоносных LaunchAgents

OSX/Dok оставляет за собой агенты автозапуска в библиотеке пользователя.

1. Включите отображение скрытых файлов в Finder (Cmd+Shift+.) если нужно.

2. Откройте Finder и перейдите в Macintosh HD → Users → <ваше_имя> → Library → LaunchAgents.

3. Найдите и удалите файлы:

   • com.apple.Safari.proxy.plist
   • com.apple.Safari.pac.plist

4. После удаления перезагрузите компьютер.

Совет для продвинутых: в терминале можно посмотреть список запущенных LaunchAgents командой launchctl list | grep Safari. Для выгрузки: launchctl remove <имя-агента> — но действуйте осторожно.

Шаг 3. Удаление поддельного сертификата из связки ключей

1. Откройте Keychain Access (Доступ к связке ключей) через Spotlight.
2. В левом столбце в категории выберите «Сертификаты» (Certificates).
3. В списке найдите запись «COMODO RSA Secure Server CA 2» (или похожую, которая выглядит подозрительно).
4. Щёлкните правой кнопкой и выберите «Удалить» (Delete). Подтвердите.

Важно: удаляйте только явно мошеннические сертификаты. Если вы не уверены, сделайте скриншот записи и проконсультируйтесь со специалистом.

Что ещё проверить после удаления

• Настройки прокси и DNS в системных настройках — должны быть пустыми или стандартными.
• Список Login Items (Системные настройки → Пользователи и группы → Объекты входа) — удалите неизвестные элементы.
• Процесс, который запускался от имени непонятного пользователя — проверяйте через Activity Monitor.
• Файлы в /Users/Shared — удалите подозрительные бинарники.

Критерии приёмки:

• Поле прокси пусто или содержит только доверенные адреса.
• В папке LaunchAgents нет упомянутых plist-файлов.
• Поддельные сертификаты удалены из Keychain.
• Нет необычных Login Items или неизвестных процессов при перезагрузке.

Мини‑методология проверки на заражение

1. Проверьте наличие прокси в Сеть → Дополнительно → Прокси.
2. Просмотрите ~/Library/LaunchAgents на предмет подозрительных plist.
3. Откройте Keychain и ищите недавно добавленные сертификаты от неизвестных издателей.
4. Перезагрузите и убедитесь, что подозрительное ПО не возвращается.

План реагирования для домашних пользователей и администраторов

Роль: Домашний пользователь — Быстрый чеклист:

• Немедленно закройте браузер и приложения.
• Удалите прокси как в шаге 1.
• Удалите plist-файлы в LaunchAgents и подозрительные файлы в /Users/Shared.
• Проверьте Keychain и удалите поддельный сертификат.
• Смените пароли учётных записей после очистки (особенно если вводили пароль при запросе обновления).

Роль: IT‑администратор — Проведите инцидент-ответ:

• Изолируйте устройство от сети.
• Соберите логи и снимки процессов (Activity Monitor, системные логи).
• Проверить и очистить автозапуск, plist и сертификаты.
• Просканировать сеть на наличие аномалий, проверить DHCP/DNS на предмет подмен.
• Распространить инструкцию по обнаружению и удалению среди пользователей.

Инцидент runbook — краткий порядок:

1. Изолировать устройство.
2. Сделать резервную копию данных.
3. Проверить и убрать прокси, LaunchAgents, сертификаты.
4. Сменить все пароли, где могли быть скомпрометированы учётные данные.
5. Наблюдать систему 72 часа; при повторном появлении — переустановка macOS с чистого образа.

Когда этот метод может не сработать

• Если вредонос установил дополнительные компоненты в другие каталоги (например, /Library/LaunchDaemons) — нужна более глубокая проверка.
• Если злоумышленник получил доступ к учётной записи iCloud, могли быть синхронизированы настройки — проверьте устройства, связанные с учётной записью.
• При сомнении в полном исцелении рекомендуется переустановить macOS и восстановить только проверенные файлы из резервной копии.

Альтернативные подходы

• Восстановление из заведомо чистой Time Machine‑копии, сделанной до заражения.
• Полная переустановка macOS и выборочная миграция данных, а не перенос приложений без проверки.
• Использование антивируса с функцией глубокого сканирования для macOS (помогает обнаружить обфусцированные бинарники).

Безопасность и жёсткие настройки

• Отключите опцию «Разрешать установку программ от любых разработчиков», оставьте только App Store и идентифицированных разработчиков, если это возможно.
• Включите FileVault для шифрования диска.
• Настройте двухфакторную аутентификацию для Apple ID и важных сервисов.
• Регулярно обновляйте macOS и приложения.

1‑строчная памятка (глоссарий):

• Proxy (прокси) — сервер, через который может проксироваться ваш сетевой трафик.
• PAC (файл автоконфигурации прокси) — файл с правилами для перенаправления трафика.
• LaunchAgent/LaunchDaemon — механизмы macOS для автозапуска программ.

Тесты приёмки и контрольные случаи

• После удаления, при перезагрузке система не запрашивает ввод пароля под неизвестным обновлением.
• Параметр автоконфигурации прокси пуст.
• Нет подозрительных plist в ~/Library/LaunchAgents.
• Сертификат «COMODO RSA Secure Server CA 2» или похожие поддельные записи удалены.

Часто задаваемые вопросы

Как понять, заражён ли мой Mac?

Проверьте настройки прокси (вкладка Прокси в Сеть), содержимое ~/Library/LaunchAgents и подозрительные сертификаты в Keychain. Если вы видите http://127.0.0.1:5555 или неизвестные plist — это плохой признак.

Нужно ли переустановить macOS?

Если после удаления вредонос возвращается, или вы не уверены в полном устранении — рекомендуется чистая переустановка и восстановление данных из проверенной резервной копии.

Можно ли вернуть данные при шифровании/утечке?

OSX/Dok больше ориентирован на перехват трафика и получение прав; если у злоумышленника были учетные данные, смените пароли и проверьте связанные сервисы. Восстановить компрометированные секреты просто сменой паролей.

Рекомендации по предотвращению фишинга и заражения

• Никогда не открывайте вложения, которых вы не ожидали.
• Осторожно относитесь к письмам от знакомых: аккаунт отправителя может быть взломан.
• Установите и поддерживайте антивирус с хорошими отзывами.
• Обучайте домашних пользователей и сотрудников распознавать фишинг.

Заключение

OSX/Dok — серьёзное напоминание: macOS защищён, но не неуязвим. Регулярные проверки, осторожность с вложениями и базовые меры безопасности сводят риск к минимуму. Если вы обнаружили признаки заражения и не уверены в действиях — обратитесь к специалисту по информационной безопасности.

Источник изображения: guteksk7 via Shutterstock.com

Социальные подсказки

Короткий анонс для сети (100–200 слов): OSX/Dok — новый опасный троян для Mac, распространяющийся через ZIP-вложения. Он может получить админ-права, перенастроить прокси и перехватывать трафик. В нашем пошаговом руководстве — как удалить прокси, удалить автозапуск и поддельные сертификаты, а также что делать после инцидента. Подходит для домашних пользователей и ИТ-администраторов.