0
macOS er i stigende grad ved at blive ramt af it-kriminelle.
Billede: iStock
En nylig opdaget stamme af Apple Mac-malware er begyndt at efterligne den store bank-websites i et forsøg på at stjæle login-oplysninger fra ofrene.
Første afsløret i Maj, OSX.Dok påvirket alle versioner af Apple ‘ s ældre OS X-operativsystem, og blev oprindeligt brugt til at spionere på ofrenes web-trafik.
Den malware blev senere ændret til at inficere macOS brugere, og dets nyeste variant er blevet opdateret til at stjæle penge og finansielle legitimationsoplysninger, siger forskere ved Check Point.
Denne nye Dok kampagne, der er distribueret via phishing-e-mails vedrørende finansielle eller skattemæssige spørgsmål, med nyttelast implementeres via en ondsindet ZIP-fil, der er ofrene opfordres til at køre. Dette seneste angreb specifikt rettet mod macOS brugere, med malware indgået en aftale med manden i midten-angreb, der gør det muligt for gerningsmændene at udspionere alle offer kommunikation, selv om de er SSL-krypteret.
Dok ser ud til at være meget sofistikeret malware, der er vist af mutationer i sin kode, der gør det mere vanskeligt at opdage og fjerne — især da Dok ændrer OS “indstillinger” for at deaktivere sikkerhedsopdateringer og forhindre, at nogle Apple-tjenester i at kommunikere.
Når det er installeret på et system, Dok downloads TOR henblik på kommunikation med en kommando og kontrol-server over den mørke web, som hjælper med at geolocate offer og tilpasse angreb i henhold til placering — med beviser tyder på, malware hovedsageligt henvender sig til brugere i Europa.
En proxy-fil, der serveres til offeret, afhængigt af deres placering, med det formål at omdirigere trafik til bank-domæner til et falsk websted, der er hostet på angriberen C&C server, som høsten login-legitimationsoplysninger og giver hackeren mulighed for at gennemføre banktransaktioner.
For eksempel, en proxy indstillinger for en Schweizisk IP-adresse, der indeholder instruktioner til at omdirigere ofre’ forsøg på at besøge bank websites lokale til landet, herunder Credit Suisse, Globalance Bank, og CBH Bank.
En falsk bank-login-side, med de afslørende tegn fremhævet, herunder forkert års ophavsret, mangler den oprindelige SSL-certifikat, og det manglende auth token i URL ‘ en.
Billede: Check Point
Efter indtastning deres login-oplysninger, brugeren bliver bedt om at give deres mobil nummer for meningen SMS-bekræftelse. Selvfølgelig, dette er ikke, hvad det telefonnummer, der er til; i stedet angriberne bruge det til at bede offeret til at downloade en mobil-applikation-samt Signal, en legitim messaging app.
Det er sandsynligt, at Signalet er installeret for at give hackeren mulighed for at kommunikere med offeret på et senere tidspunkt eller til at begå yderligere ondsindede eller svigagtige aktiviteter, såsom at installere malware på den mobile enhed. Uanset intentioner om at bruge Signal er, forskere bemærk, at brugen af det vil “gøre det sværere for håndhævelse af loven til at spore hacker”.
Mens identitet og placering af dem, der står bag Dok er ukendt, forskere bemærk, at Apple malware er en version af den Retefe bank Trojan, som er blevet porteret fra Windows. Retefe har også været kendt for, som overvejende er rettet mod Europæiske banker.
Hvem står bag OSX.Dok, Check Point advarer malware er stadig på fri fod, og det vil være en trussel for nogle tid til at komme, især hvis angriberne fortsætte med at investere i avancerede formørkelse teknikker.
Macs længe haft et ry for at være virus-fri, men it-kriminelle i stigende grad vender deres opmærksomhed til Apple-systemer og distribution af malware til brugerne.
LÆS MERE OM IT-KRIMINALITET
Er Mac computer mod virus? [CNET]Mac-malware bruger ‘gamle’ kode for at målrette biomedicinske facilitiesKeydnap malware går efter dit Mac-password skat troveRansomware-as-a-service ordninger er nu rettet mod Macs tooHow at minimere smitte fra Xagent, den seneste malware-trussel mod OS X [TechRepublic]
0