macOS: Banking-Trojaner OSX/Dok propagiert Installation des Krypto-Messengers Signal

Die durch ein Apple-Entwicklerzertifikat signierte Malware OSX/Dok manipuliert Web-Verbindungen, um Login-Daten für Online-Banking abzugreifen. Das Opfer soll zudem Signal auf dem iPhone installieren – darüber wollen Angreifer offenbar Kontakt aufnehmen.

Nach der Installation durch den Nutzer versucht OSX/Dok, das Admin-Kennwort zu erschleichen, indem es vorgaukelt, ein wichtiges Sicherheitsupdate stehe zur Installation bereit, dafür sei die Eingabe des Passwortes erforderlich. Gibt der Nutzer dieses ein, wird ein Proxy sowie ein neues Root-Zertifikat im System an- respektive abgelegt – der Angreifer erhält damit kompletten Zugriff auf die Web-Kommunikation des Nutzers, auch auf verschlüsselte Verbindungen.

Beim Aufruf einer Banking-Seite durch den Nutzer kann der Angreifer so eine manipulierte Version ausliefern und die dort eingegebenen Zugangsdaten klauen. Zusätzlich wird der Nutzer nun aufgefordert, seine Mobilfunknummer einzugeben und den Krypto-Messenger Signal auf iPhone oder Android-Smartphone zu installieren. Es handele sich dabei um eine Sicherheitsvorkehrung, so die vorgebliche Webseite der Bank. Möglicherweise wollen die Angreifer – getarnt als vermeintliche Support-Mitarbeiter der Bank – darüber mit dem Nutzer in Kontakt treten, um etwa zusätzliche Informationen zu erfassen, spekulieren die Sicherheitsforscher – etwa per SMS zugestellte Autorisierung-Codes für eine Zwei-Faktor-Authentifizierung.

OSX/Dok zielt speziell auch auf deutschsprachige Nutzer ab: Der Trojaner wird unter anderem über E-Mails mit dem Betreff “Fragen zur Steuererklärung” verbreitet, ein angeblicher Schweizer Steuerprüfer weist darin auf Unregelmäßigkeiten hin und bittet das angehängte Dokument zu prüfen.

Quelle: heise online