0
macOS är allt måltavla för cyberbrottslingar.
Bild: iStock
En nyligen upptäckt stam av Apple Mac-malware har börjat härma stora webbplatser bank i ett försök att stjäla inloggningsuppgifter från offren.
Först upptäcktes i Maj, OSX.Dok påverkas alla versioner av Apples äldre OS X-operativsystem och var ursprungligen används för att spionera på offrens webbtrafik.
Det skadliga programmet var senare ändras för att infektera macOS-användare, och sin senaste variant har uppdaterats för att stjäla pengar och ekonomiska meriter, säger forskare på Check Point.
Denna nya Dok kampanj distribueras via phishing e-post som avser finansiella eller skattefrågor, med nyttolasten distribueras via en skadlig ZIP-fil som offer uppmanas att köra. Den senaste attacken specifikt mål macOS-användare, med malware samarbetar med en man-i-mitten-attack som gör att förövarna för att spionera på alla offer kommunikation, även om de är SSL-krypterade.
Dok verkar vara mycket sofistikerade skadlig kod, som visas av mutationer i sin kod som gör det svårare att upptäcka och ta bort-i synnerhet som Dok ändrar OS’ inställningar för att inaktivera uppdateringar och förhindra att vissa Apple-tjänster från att kommunicera.
När du har installerat på ett system, Dok nedladdningar TOR för kommunikation med ett kommando och kontroll server över det mörka nätet, som hjälper till att geotagga offret och anpassa attack utifrån den plats — med bevis som tyder på skadliga program som huvudsakligen riktar sig till användare i Europa.
En proxy-fil serveras till offer beroende på deras geografiska läge, med syfte att omdirigera trafik till bank-domäner till en falsk webbplats som finns på angriparens C&C-server, som skördar inloggningsuppgifter och gör det möjligt för angripare att utföra banktransaktioner.
Till exempel, en proxy-inställningen för en Schweizisk IP-adress innehåller instruktioner för omdirigering av offrens försök att besöka webbplatser bank lokala till det land, bland annat Credit Suisse, Globalance Bank, och CBH Bank.
En falsk bank login-sidan, med telltale tecken belyst, inklusive fel år av upphovsrätt, saknas den ursprungliga SSL-certifikat, och den saknade auth-token i en URL.
Bild: Check Point
Efter att skriva in sina inloggningsuppgifter, uppmanas användaren att ge sitt mobil nummer för påstådda SMS-verifiering. Detta är givetvis inte vad det telefonnummer som är för, istället angripare använder det för att förmå offret att ladda ner en mobilapp — liksom Signal, en legitima meddelanden app.
Det är troligt att Signalen är installerat för att tillåta angripare att kommunicera med offret i ett senare skede eller att begå ytterligare skadliga eller bedrägliga aktiviteter, såsom att installera skadlig kod på den mobila enheten. Oavsett avsikter med hjälp av Signalen, forskarna notera att användningen kommer att “göra det svårare för polis för att spåra angriparen”.
Samtidigt som identitet och placering av dem som står bakom Dok är okänd, forskarna notera att Apple malware är en version av Retefe bank Trojan, som har portats från Windows. Retefe har också varit kända för att huvudsakligen rikta Europeiska banker.
Vem ligger bakom OSX.Dok, Check Point varnar för skadlig kod är fortfarande på fri fot och kommer att vara ett hot för lite tid att komma, speciellt om angriparna att fortsätta att investera i avancerad mörkläggning tekniker.
Mac länge haft ett rykte om sig att vara fri från virus, men cyberbrottslingar allt större utsträckning vänder sin uppmärksamhet till Apples system och sprida skadliga program till användare.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Är Macs säker från virus? [MAG]Mac malware använder “gamla” kod för att målet biomedicinska facilitiesKeydnap malware går efter din Mac lösenord skatt troveRansomware-as-a-service-system är nu inriktade Mac tooHow att minimera infektion från Xagent, de senaste malware hot mot OS X [TechRepublic]
0