Banking-Trojaner nimmt Schweizer Mac-Nutzer ins Visier

Forscher von Trend Micro haben eine vor kurzem entdeckte Malware namens ‚OSX_DOK‘ genauer analysiert. Dabei zeigte sich, dass der Trojaner ausschließlich Daten von Schweizer Nutzern abfängt, die er an ihrer IP-Adresse erkennt. OSX_DOK stellt dabei die Mac-Variante der Windows-Malware ‚WERDLOD‘ dar, die bereits 2014 in einem Angriff auf Schweizer Bankkunden verwendet wurde.
Die Malware wird derzeit über eine E-Mail verbreitet, die angeblich von der Kantonspolizei Zürich stammt und infizierte Anhänge enthält. Nach ihrer Installation prüft sie anhand der IP-Adresse, ob sich der Nutzer in der Schweiz befindet. Nur dann werden seine Daten abgefangen. Die OSX_DOK-Schadsoftware (Trend Micro erkennt sie als OSX_DOK. C) zielt auf Maschinen mit dem OSX-Betriebssystem von Apple und umfasst fortgeschrittene Funktionalitäten, etwa für den Missbrauch von Zertifikaten und Umgehung von Sicherheitssoftware.

Um auf die Rechner zu gelangen, nutzen die Malware-Autoren eine Phishing-Kampagne, um anschließend über einen Man-in-the- Middle (MitM)-Angriff den Netzwerkverkehr eines Nutzers zu kapern. Die Phishing-Mail enthält bestimmte Dateien, entweder im Format.zip oder .docx. Die von Trend Micro analysierten Samples umfassten eine Nachricht, die vorgeblich von einer Polizeiinspektion in Zürich kam und behauptete, den Empfänger erfolglos kontaktiert zu haben.

Zwei angehängte Dateien gaben vor, Fragen für den Nutzer zu enthalten: eine .zip-Datei ist eine gefälschte OSX-App, während die andere .docx-Datei dazu verwendet wird, die Windows-Betriebssysteme über WERDLOD anzupeilen. Beide Samples arbeiten als Banking-Trojaner und liefern ähnliche Funktionalitäten.

Weitere Infos im Trendmicro Blog

2017-07-11T16:56:38+00:00