Logo von Mac & i

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Leo Becker 16

macOS: Banking-Trojaner propagiert Installation des Krypto-Messengers Signal

OSX/Dok Malware

Die manipulierte Bankseite fordert zur Installation von Signal auf – nach Eingabe der Rufnummer.

Bild: Check Point

Die durch ein Apple-Entwicklerzertifikat signierte Malware OSX/Dok manipuliert Web-Verbindungen, um Login-Daten für Online-Banking abzugreifen. Das Opfer soll zudem Signal auf dem iPhone installieren – darüber wollen Angreifer offenbar Kontakt aufnehmen.

Die auf macOS-Nutzer abzielende Malware OSX/Dok setzt verstärkt auf wechselnde Apple-Entwicklerzertifikate: Um bei der Installation des Trojaners keine Warnung durch das in macOS integrierte Schutzsystem Gatekeeper auszulösen, kaufen die Angreifer immer wieder neue Apple-Entwicklerzertifikate, wie die IT-Sicherheitsfirma Checkpoint berichtet. Der Mac-Hersteller ziehe diese schließlich zurück.

In den letzten Wochen wurden angeblich Dutzende der Zertifikate erworben, die man durch Abschluss einer Mitgliedschaft in Apples Entwicklerprogramm erhält – Kostenpunkt knapp 100 Dollar (pro Jahr). Fast täglich kommt ein neues Zertifikat zum Einsatz, so die Sicherheitsforscher. Die weiterhin durch klassische Phishing-Mails verbreitete Malware unterbindet demnach nun außerdem den Bezug von macOS-Sicherheitsupdates und verhindert die Kommunikation mit Apple-Diensten und der Malware-Prüfseite VirusTotal.

Manipulierte Banking-Seiten fordern Installation von Signal

Nach der Installation durch den Nutzer versucht OSX/Dok, das Admin-Kennwort zu erschleichen, indem es vorgaukelt, ein wichtiges Sicherheitsupdate stehe zur Installation bereit, dafür sei die Eingabe des Passwortes erforderlich. Gibt der Nutzer dieses ein, wird ein Proxy sowie ein neues Root-Zertifikat im System an- respektive abgelegt – der Angreifer erhält damit kompletten Zugriff auf die Web-Kommunikation des Nutzers, auch auf verschlüsselte Verbindungen.

Beim Aufruf einer Banking-Seite durch den Nutzer kann der Angreifer so eine manipulierte Version ausliefern und die dort eingegebenen Zugangsdaten klauen. Zusätzlich wird der Nutzer nun aufgefordert, seine Mobilfunknummer einzugeben und den Krypto-Messenger Signal auf iPhone oder Android-Smartphone zu installieren. Es handele sich dabei um eine Sicherheitsvorkehrung, so die vorgebliche Webseite der Bank. Möglicherweise wollen die Angreifer – getarnt als vermeintliche Support-Mitarbeiter der Bank – darüber mit dem Nutzer in Kontakt treten, um etwa zusätzliche Informationen zu erfassen, spekulieren die Sicherheitsforscher – etwa per SMS zugestellte Autorisierung-Codes für eine Zwei-Faktor-Authentifizierung.

OSX/Dok offenbar ein portierte Windows-Banking-Trojaner

OSX/Dok zielt speziell auch auf deutschsprachige Nutzer ab: Der Trojaner wird unter anderem über E-Mails mit dem Betreff “Fragen zur Steuererklärung” verbreitet, ein angeblicher Schweizer Steuerprüfer weist darin auf Unregelmäßigkeiten hin und bittet das angehängte Dokument zu prüfen. Bei OSX/Dok handelt es sich offenbar um eine Portierung des perfiden Windows-Banking-Trojaners Retefe.

Mehr zum Thema:

(lbe)

16 Kommentare

Themen:

Anzeige
  1. Malware mit Apple-Entwicklerzertifikat spioniert HTTPS-Traffic aus

    Malware mit Apple-Entwicklerzertifikat spioniert HTTPS-Traffic aus

    Eine neue macOS-Malware namens DOK macht derzeit die Runde und gibt vor, ein System-Update zu sein.

  2. "Kompromittierte Schlüssel": Apple vermerkt 1,1 Millionen widerrufene Zertifikate

    "Kompromittierte Schlüssel": Apple vermerkt 1,1 Millionen widerrufene Zertifikate

    Apples Sperrliste für Entwicklerzertifikate ist inzwischen über 45 MByte groß. Mac-Malware kommt gerne signiert, um das in macOS integrierte Schutzsystem Gatekeeper in Sicherheit zu wiegen.

  3. Apple blockiert signierte Mac-Backdoor

    Apple blockiert signierte Mac-Backdoor

    Als Flash-Player-Update getarnt versucht die mit einem Apple-Entwicker-Zertifikat signierte Mac-Malware, den Nutzer zur freiwilligen Installation zu bringen. macOS soll ein Ausführen des Schädlings nun verhindern.

  4. MacRansom und MacSpy: Mac-Malware kommt als Dienstleistung

    MacRansom und MacSpy: Mac-Malware kommt als Dienstleistung

    Unbekannte handeln mit zwei Malware-Tools, die auf macOS abzielen – darunter ein Erpressungstrojaner. Mac-Nutzer seien gewöhnlich gewillt, weiter über 1000 Dollar für die Entschlüsselung ihrer Dateien zu bezahlen, wirbt der Anbieter.

  1. Interview: Wie sicher sind iOS und macOS vor Angriffen?

    An der Tastatur

    Die Windows-Welt erlebt mit „WannaCry“ & Co. massive Malware-Wellen. Doch auch die Angriffe auf den Mac nehmen zu. Im Mac & i-Gespräch erklärt der renommierte Sicherheitsforscher Patrick Wardle, was Nutzern blühen könnte, wenn Apple nicht reagiert.

  2. Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

    An der Tastatur

    Bislang konnten sich Mac-Nutzer relativ sicher fühlen. Inzwischen kursierte aber die erste Ransomware im Netz, die auch OS X infiziert. Sie verschlüsselt Daten und erpresst Lösegeld vom Anwender. Mac & i zeigt, wie Sie sich generell vor Malware schützen können und nennt die Hintergründe.

  3. Die Systemprozesse von macOS Sierra

    In der Hintergrundreihe „macOS intern“ blickt Mac & i seit Heft 1/2017 hinter die Kulissen von Apples Desktop-Betriebssystem. Begleitend zum dritten Teil haben wir eine umfangreiche Liste vieler Systemprozesse von macOS 10.12 samt ihrer Bedeutung zusammengetragen.

  1. Telecom-Zusammenschluss NGENA will das Anbieten internationaler VPN erleichtern

    Telecom-Zusammenschluss NGENA will das Anbieten internationaler VPN erleichtern

    Die NGENA verbindet die Netze mehrerer nationaler Telecom-Anbieter. Ziel des Zusammenschluss ist es, Kunden über Software-Defined Networking schnell internationale VPN-Verbindungen bereitstellen zu können.

  2. Nicht Werte bestimmen Merkels Politik, sondern Interessen

    Wegen ihrer Unfähigkeit zur Politik-Analyse haben viele große Medien am wahrscheinlichen Wahlerfolg von Angela Merkel und dem Aufstieg der AfD einen großen Anteil

  3. AfD: Keiner kann mehr sagen, von alldem nichts gewusst zu haben

    Muss die AfD inzwischen als eine Nazipartei bezeichnet werden, da sie immer offener an nationalsozialistische Ideologie anknüpft?

  4. Erdogans militarisierte Außenpolitik irritiert den Westen

    Türkische Truppen sind in Somalia, Katar, Nordirak, Nordsyrien, Afghanistan, Nordzypern, Aserbaidschan und vor der Küste des Libanon stationiert

Anzeige