E-Banking-Trojaner
11.07.2017, 12:45 Uhr
Schweizer Mac-User als Zielscheiben
Sicherheitsexperten von Trend Micro warnen vor dem Trojaner OSX_DOK, der explizit Mac-User aus der Schweiz ins Visier nimmt. Offenbar gibt es Parallelen zu einer grossangelegten Malware-Kampagne aus dem Jahr 2014, die auf Schweizer Bankkunden abzielte.
Erst vor Kurzem warnte die Melde- und Analysestelle Informationssicherheit des Bundes (Melani) davor, dass Cyber-Kriminelle zunehmend gezielte Angriffe auf Mac-Rechner starten. Nun haben Experten des japanischen IT-Sicherheitsdienstleisters Trend Micro eine Malware-Kampagne entdeckt, die explizit Schweizer Nutzerinnen und Nutzer von Apple-Rechnern ins Visier nimmt. Wie das Unternehmen in einem Blog-Beitrag schreibt, verteilen Hacker derzeit betrügerische E-Mails, in deren Anhang sich der E-Banking-Trojaner OSX_DOK versteckt. Abgesehen haben es die Hintermänner auf Anmeldedaten für Online-Banking-Dienste.
Gemäss den Experten sind die Betrugs-Mails als Nachrichten der Zürcher Polizei getarnt. Im Anhang befindet sich eine ZIP-Datei, die nach dem Öffnen eine schädliche Anwendung auf den Mac-Rechnern ausführt. In einem ersten Schritt entfernt diese den App-Store vom System und lässt danach eine gefälschte Update-Benachrichtigung aufpoppen. Die Meldung fragt nach dem Nutzerpasswort, womit sich die Hacker umfangreichen Zugriff auf den infizierten Rechner verschaffen.
Als nächstes richtet der Trojaner gefälschte Sicherheitszertifikate ein, um einen Man-in-the-Middle-Angriff vorzubereiten. Auch die Installation weiterer Schadprogramme sei möglich. Weil die System-Zertifikate nur vom Apple-Browser Safari verwendet werden, ist lediglich dieser Browser angreifbar. Chrome oder Firefox seien hingegen vor dem Angriff geschützt, schreiben die Sicherheitsexperten weiter. Nächste Seite: Schweizer Apple-User im Fokus
Schweizer Apple-User im Fokus
Im Anschluss installiert der Trojaner einen Zugang zum Tor-Netzwerk sowie zwei Proxy-Server. Der eine Proxy-Server überprüft anhand der IP-Adresse, ob das Opfer aus der Schweiz stammt. Trifft dies zu, wird der gesamte Netzwerkverkehr über den zweiten Proxy-Server auf das Tor-Netzwerk umgeleitet. In Safari blenden die Cyber-Kriminellen danach eine manipulierte E-Banking-Webseite ein. Diese kommt auf den ersten Blick ganz normal daher, befindet sich jedoch auf dem Darknet. Sobald dort die Login-Daten eigegeben werden erscheint eine Countdown-Box, die jedoch ausschliesslich zur Ablenkung dient und ein Eingreifen der Nutzerinnen und Nutzer herauszögert.
Die Auflistung betroffener Banken-Domains zeigt, dass der Trojaner nicht nur auf die grossen Finanzinstitute abzielt. Auch für die Portale kleinerer Banken haben die Cyber-Kriminellen täuschend echte Duplikate erstellt.
Trend Micro weist ebenfalls darauf hin, dass derzeit ein praktisch identischer Angriff auf Schweizer Windows-Nutzer abzielt. Damit versuchen die Hacker den Trojaner Retefe zu verteilen. Der IT-Sicherheitsdienstleister bringt die neue Attacke auf Mac-Rechner deshalb mit der sogenannten «Operation Emmental» in Verbindung. Dabei handelte es sich um einen gezielten Cyber-Angriff auf Bankkunden in der Schweiz, sterreich, Schweden und Japan im Jahr 2014. Opfer wurden damals dazu gebracht, schädliche Apps auf ihren Computern und Smartphones zu installieren, damit Hacker die Zwei-Faktor-Authentifizierung umschiffen konnten.