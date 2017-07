Banking-Trojaner nimmt Schweizer Mac-Nutzer ins Visier

Forscher von Trend Micro haben eine vor kurzem entdeckte Malware namens 'OSX_DOK' genauer analysiert. Dabei zeigte sich, dass der Trojaner ausschließlich Daten von Schweizer Nutzern abfängt, die er an ihrer IP-Adresse erkennt. OSX_DOK stellt dabei die Mac-Variante der Windows-Malware 'WERDLOD' dar, die bereits 2014 in einem Angriff auf Schweizer Bankkunden verwendet wurde.

Die Malware wird derzeit über eine E-Mail verbreitet, die angeblich von der Kantonspolizei Zürich stammt und infizierte Anhänge enthält. Nach ihrer Installation prüft sie anhand der IP-Adresse, ob sich der Nutzer in der Schweiz befindet. Nur dann werden seine Daten abgefangen. Die OSX_DOK-Schadsoftware (Trend Micro erkennt sie als OSX_DOK. C) zielt auf Maschinen mit dem OSX-Betriebssystem von Apple und umfasst fortgeschrittene Funktionalitäten, etwa für den Missbrauch von Zertifikaten und Umgehung von Sicherheitssoftware.



Um auf die Rechner zu gelangen, nutzen die Malware-Autoren eine Phishing-Kampagne, um anschließend über einen Man-in-the- Middle (MitM)-Angriff den Netzwerkverkehr eines Nutzers zu kapern. Die Phishing-Mail enthält bestimmte Dateien, entweder im Format.zip oder .docx. Die von Trend Micro analysierten Samples umfassten eine Nachricht, die vorgeblich von einer Polizeiinspektion in Zürich kam und behauptete, den Empfänger erfolglos kontaktiert zu haben.



Zwei angehängte Dateien gaben vor, Fragen für den Nutzer zu enthalten: eine .zip-Datei ist eine gefälschte OSX-App, während die andere .docx-Datei dazu verwendet wird, dieWindows-Betriebssysteme über WERDLOD anzupeilen. Beide Samples arbeiten als Banking-Trojaner und liefern ähnliche Funktionalitäten.



Ausgetrickst mit gefälschten Warnungen

Sobald die docx-Datei in der Phishing-Mail angeklickt wird, öffnet sich ein Warnfenster. Danach wird der App Store auf dem System entfernt und ein gefälschter OSX-Update-Screen füllt den Bildschirm. Er verlangt ein Passwort, um Befehle als Root auszuführen. Die Schadsoftware beginnt, weitere Utilities herunterzuladen. Dabei nutzt sie Homebrew, einen quelloffenen Softwarepaket-Manager, um Golang und Tor zu installieren.



Die Schadsoftware installiert gefälschte Zertifikate auf dem System, um ihren MitM-Angriff auszuführen. Die Struktur des gefälschten App Stores entspricht der Application Bundle Structure und liefert sowohl deutsche als auch englische Schnittstellen. Das Haupt-Executable ist Dokument.app/Contents/MacOS/AppStore.



Auch wenn Phishing-Angriffe für Mac-Geräte seltener vorkommen als für Windows, sollten Nutzer dennoch im Hinterkopf behalten, dass Angreifer sie wann immer ins Visier nehmen können. Sie sollten sich an Best Practices für Phishing-Angriffe halten, so etwa keine Dateien herunterzuladen, ohne sich sicher zu sein, dass diese aus vertrauenswürdigen Quellen stammen. Eine detaillierte Analyse der Schadsoftware findet sich im Blog von Trend Micro [1].