macOS Trojaner OSX/Dok installiert Messenger Signal und klaut Banking-Daten

Laut der renommierten Softwarefirma Check Point ist der macOS Trojaner OSX/Dok zurück, und dieses Mal installiert er den Messenger Signal während er auch noch Kontodaten fürs Online Banking klaut. Letzteres geht im Grunde auch ohne Signal, weshalb der Messenger-App von den Digital-Sicherheitsexperten verschiedene Rollen zugeschrieben werden. Möglich ist, dass er den Betrügern, die mit dem macOS Trojaner OSX/Dok Bankdaten stehlen wollen, nur als Platzhalter für mobile Angriffe auf dem iPhone dient.

Wenn ihr per Apple Mac, iMac oder MacBook Online-Banking betreibt, dann solltet ihr nicht an den Trojaner OSX/Dok geraten, der das Mac OS X und macOS befällt.

Wenn ihr per Apple Mac, iMac oder MacBook Online-Banking betreibt, dann solltet ihr nicht an den Trojaner OSX/Dok geraten, der das Mac OS X und macOS befällt.

Mac Trojaner: OSX/Dok seit April 2017 unter der Lupe

Schon im April 2017 hat Check Point in einem Beitrag auf die Mac Malware hingewiesen, welche die Daten von Apple-Nutzern angreift. Schon damals war das Ziel der Angreifer, die Kommunikation der Opfer auszulesen – auch und vor allem jene, die über verschlüsselte SSL-Datenleitungen laufen. Das Ziel von OSX/Dok ist also ganz klar Datenklau durch das Ausspionieren von vertraulichen Angaben, Mail-Adressen und Passwörtern. Zudem gibt es laut Check Point auch jetzt wieder das gleiche Problem wie im April: vor allem Nutzer von Apple Mac, MacBook und iMac in Europa sind betroffen.

Lesenswert: Benötige ich Antivirus Software auf dem Mac oder MacBook?

Malware der neuen Version: Bankdaten und Signal Messenger

[…] die hinterhältigen Akteure hinter [der OSX/Dok Malware] geben noch nicht auf. Sie zielen auf die Banking Anmeldedaten des Opfers, indem sie Seiten von großen Banken nachahmen.

Dies gibt Check Point in einem aktuellen Artikel bekannt. Neben dem Ausspionieren von Anmeldedaten fürs Online Banking werden Mac-Nutzer dazu aufgerufen, eine App auf ihrem Smartphone (iPhone) zu installieren. Dazu wird ein QR-Code zur Verfügung gestellt, um Authentifikationen zu umgehen.

Bei der App handelt es sich derzeit um den Messenger Signal, der folgende Rollen einnehmen kann:

  • Umgehung / Simulierung der Zwei-Faktor-Authentifikation, die sonst per SMS realisiert wird
  • Platzhalter, den die Cyber-Kriminellen in späteren Versionen der Malware mit einer eigenen App austauschen
  • Kommunikationsweg für weitere Malware, Erpressungen (Ransomware) oder ähnliches
  • Messung des Erfolgs der Malware, welcher bei vielen Installationen augenscheinlich hoch ist

Warum wird die Malware nicht vom Apple Mac erkannt?

Apple sowie die einzelnen Produkte von iMac und Mac über das MacBook hin zu iPhone und iPad galten lange Zeit als sicher und unangreifbar. Durch die wachsende Popularität und Nutzermenge geben sich Cyber-Kriminelle nun aber wesentlich mehr Mühe und finden Wege, um auch euren Mac zu infiltrieren. Viren, Malware, Ransomware, Trojaner und mehr sind nicht mehr nur das Problem von Microsoft Windows und Nutzern eines PCs. So kaufen die Angreifer zum Beispiel Apple-Zertifikate, um dem Apple-Sicherheitsprogramm GateKeeper zu entgehen.

Fake-Bankseite am Beispiel von Credit Suisse

Im verlinkten Beitrag von Check Point findet ihr eine umfangreiche Darstellung der gefälschten Seite, die aufgrund der OSX/Dok Schadsoftware angezeigt wird, wenn das Opfer Online Banking per Credit Suisse betreiben möchte. Diese Bank ist dabei nur ein Beispiel, da neben Banken der Schweiz, Deutschland und Österreich auch andere Banken-Seiten aus Europa betroffen sind / sein können. Auf der gefälschten Seite bekommt man jedenfalls einen Hinweis zur „Modernisierung des Sicherheitssystems“ angezeigt und wird aufgefordert, die mobile Applikation zu installieren:

Quelle: Check Point

So erkennt ihr eine gefälschte Bank-Seite

Die Seiten gleichen sich meist wie ein Ei dem anderen, selbst der aktuelle Sicherheitshinweis der echten Credit Suisse Seite, welcher auf Phishing-Mails hinweist, kann übernommen werden. Hier allerdings drei Merkmale, an denen ihr eine gefakte Seite fürs Online Banking, die mit dem Mac Trojaner in Verbindung steht, erkennen könnt:

 Echte Credit Suisse SeiteGefälschte Seite für Datenklau
SSL-Zertifikat„Credit Suisse Group AG (CH)“„Secure“
Authentifikations-Token in URL„auth?~…“„auth?language=…“
Jahresangaben im Copyright1997 – 20171997 – 2013

So funktioniert das Umleiten auf die Fake-Seite

Der Trojaner OSX/Dok lokalisiert das Opfer vorerst durch seine IP-Adresse. Abhängig von der Geo-Position wird dann der Proxy ausgewählt, der in der richtigen Sprache über das Tor-Netzwerk und das Dark Net auf den C&C Server (Command and Control) umleitet. Oder anders: wird eine Bank-Seite aufgerufen, dann kommt der Nutzer nicht zur Seite auf den Servern der Bank, sondern wird auf die Fake-Seite auf den Servern der Angreifer geleitet. Wenn ihr schauen wollt, welche Banken-URLs betroffen sind, dann empfehle ich euch diese Übersicht von Check Point:

Quelle: Check Point

Weitere Informationen und Tipps

Noch mehr Informationen, Hinweise und Hintergründe zur aktuellen Bedrohung für alle, die über den Apple Mac Online-Banking betreiben, findet ihr in den verlinkten Beiträgen von Check Point. Dort gibt’s auch weitere Grafiken und Details zum Quellcode des Trojaners OSX/Dok. Zum Abschluss möchte ich euch noch ein paar Artikel aus diesem Blog vorschlagen:

Sir Apfelot auf SteadyHQ unterstützen

2 Kommentare

  1. PeterOFre sagt:

    Vielleicht bekommt man erst auf der Seite von Check Point diesen Trojaner. Alles sehr dubios.
    Getrenntes mehrfaches Backup und Schieber für Kamera ist hingegen ein guter Tipp und wird von mir schon lange gemacht.
    Und auf emails von Banken reagiere ich gar nicht. Verstehe auch nicht wie zum Beispiel Paypal immer noch den Hinweis auf eine neue Kontoübersicht per email schickt.

    • Sir Apfelot sagt:

      Ja, das ist die richtige Einstellung. Nichts wirklich wichtiges kommt von einer Bank per eMail. Und schon garnicht ein Hinweis, dass die Zugangsdaten verifiziert werden müssen. Mit Paypal hat man da leider das Problem, dass da wirklich manchmal Infos per Mail kommen. Bei denen würde ich mir eine 2-Faktor-Authentifizierung wünschen. Damit wäre die Geschichte deutlich weniger riskant. LG! Jens

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.