OSX/Dok — что это и как удалить вредоносную программу с macOS

Что такое OSX/Dok

OSX/Dok — это семейство вредоносного ПО, нацеленное исключительно на macOS. Оно распространяется через фишинговые письма с вложением ZIP (часто с именем Dokument.zip). После открытия вложения вредоносный код копирует себя в общую папку пользователя и просит разрешения на установку под видом подписанного разработчика.

Краткое определение: вредоносная программа, которая получает права администратора, перенастраивает сетевые настройки на прокси и может подменять HTTPS‑сертификаты для перехвата трафика.

Важно: атака сочетает социальную инженерию (фишинг) и эксплуатацию доверия к подписанным приложениям. Apple отозвала один фальшивый сертификат 1 мая, но злоумышленники быстро сменили ID разработчика, и угроза осталась актуальной для тех, кто разрешает установку из «неизвестных разработчиков».

Почему это опасно

• Получив права администратора, вредоносное ПО получает полный контроль над системой.
• Изменённые сетевые настройки позволяют перехватывать логины, cookies и любую HTTPS‑сессию с подменой сертификатов.
• Одна из первых массовых кампаний, нацеленных только на macOS, — поэтому многие пользователи остаются неготовыми.

Важное: если вы не уверены в происхождении вложения — не открывайте его и не вводите пароль администратора.

Признаки заражения

• Появление окна «пакет повреждён» при открытии ZIP‑вложений, за которым следует запрос на установку.
• Неожиданные системные уведомления о «проблеме безопасности» и требование ввести пароль администратора.
• Браузеры перенаправляются или показывают предупреждения о недействительных сертификатах.
• Снижение скорости интернета или неожиданная активность сетевого адаптера.

Как OSX/Dok работает — упрощённая схема

1. Фишинговое письмо с ZIP (Dokument.zip).
2. Пользователь открывает вложение; появляется сообщение о повреждённом пакете.
3. Вредоносное ПО копируется в /Users/Shared и запрашивает установку от «подписанного» разработчика.
4. Заменяет Login Item для AppStore/браузера, чтобы стартовать при перезагрузке.
5. Паутина: меняет прокси‑настройки и добавляет сертификат для MITM‑атаки.

Проверка — что сделать в первую очередь

Important: прежде чем предпринимать любые действия, закройте все приложения, особенно Safari, и сохраните незакрытые документы. Некоторые шаги требуют прав администратора.

• Отключите интернет (выключите Wi‑Fi или отсоедините Ethernet). Это ограничит дальнейший вред.
• Сфотографируйте или запишите любые сообщения об ошибках — они помогут при разборе инцидента.

3 шага для удаления OSX/Dok (расширенная инструкция)

Перед началом: закройте (Quit) или принудительно закройте (Force Quit) все приложения. При необходимости перезагрузите в безопасном режиме (зажмите Shift при старте macOS).

Шаг 1 — Удаление прокси‑сервера

1. Откройте «Системные настройки» (самый быстрый способ — Spotlight: нажмите ⌘+Пробел и введите “Системные настройки”).
2. Перейдите в раздел «Сеть».
3. Слева выберите активное подключение (Wi‑Fi или Ethernet).
4. Нажмите «Дополнительно…» внизу справа.
5. Перейдите на вкладку «Прокси».
6. Если выбран протокол «Автоматическая настройка прокси» (Automatic Proxy Configuration), удалите URL в поле «Файл конфигурации прокси». У заражённых машин это часто начинается с http://127.0.0.1:5555…
7. Нажмите «OK», затем «Применить».

Альтернатива через терминал (для администраторов):

# узнать сервисы сети
networksetup -listallnetworkservices
# для сервиса Wi‑Fi (замените название при необходимости)
networksetup -getwebproxy "Wi-Fi"
networksetup -setautoproxystate "Wi-Fi" off

Примечание: названия сетевых сервисов могут отличаться (“Wi‑Fi”, “WiFi”, “Ethernet”) — используйте вывод первой команды.

Шаг 2 — Удаление LaunchAgents

Эти файлы запускают вредоносный процесс при входе в систему.

1. Включите отображение скрытых файлов и папок (в Finder нажмите ⌘+Shift+.)
2. Откройте Finder.
3. Перейдите в Macintosh HD → Users → <вашеимяпользователя> → Library → LaunchAgents.
4. Найдите и удалите файлы с именами:
   • com.apple.Safari.proxy.plist
   • com.apple.Safari.pac.plist
5. Проверьте также /Library/LaunchAgents и /Library/LaunchDaemons для похожих файлов и удалите их при обнаружении.
6. После удаления перезагрузите систему.

Если вы не видите Library в домашней папке, убедитесь, что включено отображение скрытых папок и вы находитесь в correct user folder.

Дополнительная проверка в терминале:

# показать запущенные launch agents, содержащие 'proxy' или 'safari'
launchctl list | egrep -i "proxy|safari|dok"
# удалить файл (требуются права)
sudo rm /Users/ваше_имя_пользователя/Library/LaunchAgents/com.apple.Safari.proxy.plist

Important: будьте осторожны с командами sudo и rm — удаляйте только те файлы, которые однозначно относятся к вредоносному ПО.

Шаг 3 — Удаление поддельного сертификата

1. Откройте программу «Связка ключей» (Keychain Access) через Spotlight.
2. В левой колонке в разделе «Категория» выберите «Сертификаты».
3. В правом списке найдите сертификат с именем “COMODO RSA Secure Server CA 2” или другой похожий сертификат, который вы не устанавливали.
4. Щёлкните правой кнопкой и выберите «Удалить» (Delete).
5. Подтвердите удаление.
6. Перезагрузите систему и перепроверьте сетевые настройки.

Проверка: если в браузере исчезли предупреждения о недействительных сертификатах и прокси неактивен, скорее всего, вы успешно удалили компоненты вредоносного ПО.

Что делать, если удаление не помогло

• Выполните проверку антивирусным сканером, совместимым с macOS. Используйте проверенные решения.
• Восстановите систему из резервной копии Time Machine, созданной до заражения.
• При отсутствии чистой резервной копии — сделайте экспорт важных данных, затем выполняйте чистую переустановку macOS и восстановление только проверенных файлов.

Важно: если вы ввели пароль администратора во время заражения, предположите компрометацию учётных данных и смените пароли с другого, проверенного устройства.

План реагирования (инцидентный runbook)

1. Немедленно отключите интернет.
2. Зафиксируйте индикаторы (скриншоты, сообщения).
3. Удалите прокси и LaunchAgents по инструкции выше.
4. Удалите фальшивые сертификаты.
5. Просканируйте систему антивирусом и проверьте автозапуск через launchctl.
6. Смените пароли (особенно Apple ID, банковские и почтовые), используя чистое устройство.
7. Поставьте мониторинг: включите двуфакторную аутентификацию для важных аккаунтов.
8. Если сомневаетесь в чистоте системы — выполните чистую установку macOS.

Критерии приёмки:

• Прокси удалён и не возвращается после перезагрузки.
• Плагины/расширения браузера проверены и чисты.
• Нет неизвестных LaunchAgents в пользовательской и системной библиотеках.
• В связке ключей отсутствуют подозрительные сертификаты.

Чек‑лист по ролям

Для пользователя:

• Не открывать неожиданные вложения.
• Не вводить пароль администратора без проверки источника.
• Отключать интернет при подозрительной активности.

Для администратора/ИТ:

• Проверить журналы консоли и системные логи на необычную активность.
• Внедрить блокировку исходящих соединений к localhost‑проксам на уровне сети.
• Обеспечить резервное копирование и политику восстановления.

Альтернативные подходы и когда они работают хуже

• Полагаться только на антивирус: антивирусы могут пропустить обфусцированные образцы. Поэтому сочетайте сканирование с ручной проверкой автозапуска и сетевых настроек.
• Откат системы без проверки сертификатов: откат может вернуть вредоносные файлы, если резервная копия была сделана после компрометации.

Мини‑методология для предотвращения подобных атак

1. Обучение пользователей распознавать фишинг (регулярные тренинги).
2. Запрет установки приложений от неизвестных разработчиков в корпоративной политике.
3. Блокировка исходящего трафика к подозрительным локальным прокси на сетевом оборудовании.
4. Внедрение EDR/логирования на концах для быстрого обнаружения аномалий.

Короткий глоссарий

• Фишинг: попытка выманить данные или заставить выполнить действие через ложное сообщение.
• LaunchAgent: механизм macOS для запуска приложений при входе в систему.
• Связка ключей: хранилище учётных данных и сертификатов на macOS.
• MITM: атака “человек посередине” для перехвата трафика.

Когда эта инструкция не поможет (контрпримеры)

• Если злоумышленник получил доступ к вашим внешним сервисам (почта, банковские аккаунты), удаление локального ПО не исправит компрометацию удалённых сервисов.
• Если вредонос был в резервной копии — восстановление из неё вернёт проблему.

Рекомендации по защите на будущее (Security hardening)

• Отключите установку приложений от «неизвестных разработчиков», если это возможно в вашей среде.
• Включите FileVault для шифрования диска.
• Включите двуфакторную аутентификацию для Apple ID и критичных сервисов.
• Настройте централизованный мониторинг и оповещения при изменении системных конфигураций.

Итог и действия сразу после очистки

• Проверьте, что браузеры больше не сообщают о недействительных сертификатах.
• Смените пароли и поставьте 2FA.
• Проверьте резервные копии и политики их создания.
• Подумайте о периодическом аудите безопасности для всей сети.

Summary:

• OSX/Dok становится активным через фишинг и ZIP‑вложения.
• Удаление включает три основных шага: прокси, LaunchAgents и сертификаты.
• После очистки смените пароли и проверьте резервные копии.

Был ли этот материал полезен? Поделитесь в комментариях, какие меры вы используете для защиты Mac.

Image Credit: guteksk7 via Shutterstock.com