macOS: Banking Trojans propagated installing the crypto Messengers signal


macOS: Banking Trojans propagated installing the crypto Messengers signal


Leo Becker


Die manipulierte Bankseite fordert zur Installation von Signal auf – nach Eingabe der Rufnummer.

(image: Check Point)

Die durch ein Apple-Entwicklerzertifikat signierte Malware OSX/Dok manipuliert Web-Verbindungen, um Login-Daten für Online-Banking abzugreifen. Das Opfer soll zudem Signal auf dem iPhone installieren – darüber wollen Angreifer offenbar Kontakt aufnehmen.

Die auf macOS-Nutzer abzielende Malware OSX/Dok setzt verstärkt auf wechselnde Apple-Entwicklerzertifikate: Um bei der Installation des Trojaners keine Warnung durch das in macOS integrierte Schutzsystem Gatekeeper auszulösen, kaufen die Angreifer immer wieder neue Apple-Entwicklerzertifikate, wie die IT-Sicherheitsfirma Checkpoint berichtet. Der Mac-Hersteller ziehe diese schließlich zurück.

In den letzten Wochen wurden angeblich Dutzende der Zertifikate erworben, die man durch Abschluss einer Mitgliedschaft in Apples Entwicklerprogramm erhält – Kostenpunkt knapp 100 Dollar (per year). Fast täglich kommt ein neues Zertifikat zum Einsatz, so die Sicherheitsforscher. Die weiterhin durch klassische Phishing-Mails verbreitete Malware unterbindet demnach nun außerdem den Bezug von macOS-Sicherheitsupdates und verhindert die Kommunikation mit Apple-Diensten und der Malware-Prüfseite VirusTotal.

Manipulierte Banking-Seiten fordern Installation von Signal

Nach der Installation durch den Nutzer versucht OSX/Dok, das Admin-Kennwort zu erschleichen, indem es vorgaukelt, ein wichtiges Sicherheitsupdate stehe zur Installation bereit, dafür sei die Eingabe des Passwortes erforderlich. Gibt der Nutzer dieses ein, is a proxy and a new root certificate in the system- respectively stored - the attacker thus obtains full access to the web communication of the user, auch auf verschlüsselte Verbindungen.

Beim Aufruf einer Banking-Seite durch den Nutzer kann der Angreifer so eine manipulierte Version ausliefern und die dort eingegebenen Zugangsdaten klauen. Zusätzlich wird der Nutzer nun aufgefordert, seine Mobilfunknummer einzugeben und den Krypto-Messenger Signal auf iPhone oder Android-Smartphone zu installieren. Es handele sich dabei um eine Sicherheitsvorkehrung, so die vorgebliche Webseite der Bank. Möglicherweise wollen die Angreifer – getarnt als vermeintliche Support-Mitarbeiter der Bank – darüber mit dem Nutzer in Kontakt treten, um etwa zusätzliche Informationen zu erfassen, spekulieren die Sicherheitsforscher – etwa per SMS zugestellte Autorisierung-Codes für eine Zwei-Faktor-Authentifizierung.

OSX/Dok offenbar ein portierte Windows-Banking-Trojaner

OSX/Dok zielt speziell auch auf deutschsprachige Nutzer ab: Der Trojaner wird unter anderem über E-Mails mit dem Betreff “Fragen zur Steuererklärung” verbreitet, ein angeblicher Schweizer Steuerprüfer weist darin auf Unregelmäßigkeiten hin und bittet das angehängte Dokument zu prüfen. Bei OSX/Dok handelt es sich offenbar um eine Portierung des perfiden Windows-Banking-Trojaners Retefe.

more on the subject:

(lbe)



This news comes from our partner network : https://www.heise.de/mac-and-i/meldung/macOS-Banking-Trojaner-propagiert-Installation-des-Krypto-Messengers-Signal-3773536.html?wt_mc=rss.apple.beitrag.atom

original image courtesy of heise.de

Be the first to comment

Leave a Reply