Banking-Trojaner OSX/Dok
Zu Beginn des Jahres 2017 trieb ein neues Mitglied, der Familie der Banking-Trojaner sein Unwesen. Das gelang mit Hilfe eines seitens Apple signierten und damit autorisierten Entwicklerzertifikats. Das ermöglichte dem Mac-Schädling sämtliche Sicherheitsvorkehrungen mühelos zu überwinden und manipulierte Webverbindungen zu manipulieren, um an Login-Informationen für Online-Banking zu gelangen.
Das kompromittierte Zertifikat hat Apple bereits zurückgezogen wie searchsecurity.de dazu berichtete. Doch das scheint die Cyberkriminellen nicht an weiteren Aktivitäten zu hindern.
Dutzende Zertifikate erworben
Laut Check Point sollen Unbekannte dutzende von Zertifikaten erworben haben. Wie es heißt mussten sie sich dazu bei Apples Entwicklerprogramm anmelden. Sobald die Mitgliedschaft abgeschlossen ist, stellt der kalifornische Konzern ihnen 99 US-Dollar pro angefordertes Zertifikat in Rechnung. Für die Kriminellen bedeutet das, dass es munter weiter geht.
Und das funktioniert so, dass die Opfer beim Besuch von Bank Websites umgeleitet werden. Das Täuschend ähnliche Duplikat der Homepage führt letztendlich zu einer Login-Seite und der Betrug kann beginnen:
Nachdem das Opfer seinen Benutzernamen und sein Passwort eingegeben hat, wird er gebeten, eine bevorzugte Authentifizierungsmethode auszuwählen. Wenn es sich für „SMS“ (andere Möglichkeiten scheinen unbrauchbar) entschieden hat, muss er seine Mobilfunknummer angeben. In einem zweiten Schritt erhält der ahnungslose Nutzer schließlich einen Download-Link auf sein Smartphone und installiert Signal. Während er dadurch abgelenkt ist, loggt sich der Cyberkriminelle ungestört auf das Opfer-Konto ein und setzt seine verbrecherischen Vorhaben in die Tat um. Parallel schmuggelt der Angreifer versteckt im Dateipaket des legitimen Messenger Signal Malware auf das Mobilgerät des Bankkunden.
Verwandschaft mit Malware Retefe
Obwohl es die seit einigen Jahren bekannte Malware Retefe auf Windows-Systeme abgesehen hat sehen die Wissenschaftler groß Ähnlichkeiten mit OSX/Dok. Sie gehen davon aus, dass es sich bei OSX/Dok um nichts weiter als eine auf Apple-Betriebssysteme angepasste Version von Retefe handelt. Die Experten rechnen damit, dass Cyberkriminelle in Zukunft immer mehr Windows-Malware auf macOS übertragen könnten.
Fazit
Dirk Arendt, Leiter Public Sector & Government Relations bei Check Point Software Technologies konstatiert:
Die Analysen um OSX/Dok zeigen, dass auch zunehmend Apple-User in den Fokus der Angreifer rücken und dass die macOS-Software mitnichten so viel sicherer ist, wie die Pendants bei Windows. Mac-Nutzer sollten sich genauso Gedanken um die Sicherheit ihrer Systeme machen wie Windows User.
Im beschriebenen Beispiel empfehlen sich Maßnahmen zur Erkennung von Zero-Day-Sicherheitslücken, Technologien zur Abwehr von Ransomware und zur Analyse von Vorgängen im Netzwerk. Zusätzlich wäre es natürlich noch besser, die Sicherheit in der Software direkt einzubauen, um Schwachstellen mit Security-by-Design-Ansätzen von vornherein zu minimieren, vor allem die mit kritischer Wirkung.
Weiterführende Links:
searchsecurity.de: OSX/Dok: Banking-Trojaner zielt auf Apple-Nutzer
