Logo von Mac & i

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.684.020 Produkten

Leo Becker 16

macOS: Banking-Trojaner propagiert Installation des Krypto-Messengers Signal

OSX/Dok Malware

Die manipulierte Bankseite fordert zur Installation von Signal auf – nach Eingabe der Rufnummer.

Bild: Check Point

Die durch ein Apple-Entwicklerzertifikat signierte Malware OSX/Dok manipuliert Web-Verbindungen, um Login-Daten für Online-Banking abzugreifen. Das Opfer soll zudem Signal auf dem iPhone installieren – darüber wollen Angreifer offenbar Kontakt aufnehmen.

Die auf macOS-Nutzer abzielende Malware OSX/Dok setzt verstärkt auf wechselnde Apple-Entwicklerzertifikate: Um bei der Installation des Trojaners keine Warnung durch das in macOS integrierte Schutzsystem Gatekeeper auszulösen, kaufen die Angreifer immer wieder neue Apple-Entwicklerzertifikate, wie die IT-Sicherheitsfirma Checkpoint berichtet. Der Mac-Hersteller ziehe diese schließlich zurück.

Anzeige

In den letzten Wochen wurden angeblich Dutzende der Zertifikate erworben, die man durch Abschluss einer Mitgliedschaft in Apples Entwicklerprogramm erhält – Kostenpunkt knapp 100 Dollar (pro Jahr). Fast täglich kommt ein neues Zertifikat zum Einsatz, so die Sicherheitsforscher. Die weiterhin durch klassische Phishing-Mails verbreitete Malware unterbindet demnach nun außerdem den Bezug von macOS-Sicherheitsupdates und verhindert die Kommunikation mit Apple-Diensten und der Malware-Prüfseite VirusTotal.

Nach der Installation durch den Nutzer versucht OSX/Dok, das Admin-Kennwort zu erschleichen, indem es vorgaukelt, ein wichtiges Sicherheitsupdate stehe zur Installation bereit, dafür sei die Eingabe des Passwortes erforderlich. Gibt der Nutzer dieses ein, wird ein Proxy sowie ein neues Root-Zertifikat im System an- respektive abgelegt – der Angreifer erhält damit kompletten Zugriff auf die Web-Kommunikation des Nutzers, auch auf verschlüsselte Verbindungen.

Beim Aufruf einer Banking-Seite durch den Nutzer kann der Angreifer so eine manipulierte Version ausliefern und die dort eingegebenen Zugangsdaten klauen. Zusätzlich wird der Nutzer nun aufgefordert, seine Mobilfunknummer einzugeben und den Krypto-Messenger Signal auf iPhone oder Android-Smartphone zu installieren. Es handele sich dabei um eine Sicherheitsvorkehrung, so die vorgebliche Webseite der Bank. Möglicherweise wollen die Angreifer – getarnt als vermeintliche Support-Mitarbeiter der Bank – darüber mit dem Nutzer in Kontakt treten, um etwa zusätzliche Informationen zu erfassen, spekulieren die Sicherheitsforscher – etwa per SMS zugestellte Autorisierung-Codes für eine Zwei-Faktor-Authentifizierung.

OSX/Dok zielt speziell auch auf deutschsprachige Nutzer ab: Der Trojaner wird unter anderem über E-Mails mit dem Betreff “Fragen zur Steuererklärung” verbreitet, ein angeblicher Schweizer Steuerprüfer weist darin auf Unregelmäßigkeiten hin und bittet das angehängte Dokument zu prüfen. Bei OSX/Dok handelt es sich offenbar um eine Portierung des perfiden Windows-Banking-Trojaners Retefe.

Mehr zum Thema:

(lbe)

16 Kommentare

Themen:

Anzeige
  1. Bankingtrojaner Retefe für macOS in deutscher Sprache

    Schweizer CERT warnt vor Bankingtrojaner für den Mac

    Eine neue Version vom Retefe-Schädling tarnt sich unter anderem als OS-X-Update und wird derzeit etwa über gefälschte DHL-Mails verteilt. Auch Windows-Nutzer sind gefährdet.

  2. Malware mit Apple-Entwicklerzertifikat spioniert HTTPS-Traffic aus

    Malware mit Apple-Entwicklerzertifikat spioniert HTTPS-Traffic aus

    Eine neue macOS-Malware namens DOK macht derzeit die Runde und gibt vor, ein System-Update zu sein.

  3. "Kompromittierte Schlüssel": Apple vermerkt 1,1 Millionen widerrufene Zertifikate

    "Kompromittierte Schlüssel": Apple vermerkt 1,1 Millionen widerrufene Zertifikate

    Apples Sperrliste für Entwicklerzertifikate ist inzwischen über 45 MByte groß. Mac-Malware kommt gerne signiert, um das in macOS integrierte Schutzsystem Gatekeeper in Sicherheit zu wiegen.

  4. Apple blockiert signierte Mac-Backdoor

    Apple blockiert signierte Mac-Backdoor

    Als Flash-Player-Update getarnt versucht die mit einem Apple-Entwicker-Zertifikat signierte Mac-Malware, den Nutzer zur freiwilligen Installation zu bringen. macOS soll ein Ausführen des Schädlings nun verhindern.

  1. Interview: Wie sicher sind iOS und macOS vor Angriffen?

    An der Tastatur

    Die Windows-Welt erlebt mit „WannaCry“ & Co. massive Malware-Wellen. Doch auch die Angriffe auf den Mac nehmen zu. Im Mac & i-Gespräch erklärt der renommierte Sicherheitsforscher Patrick Wardle, was Nutzern blühen könnte, wenn Apple nicht reagiert.

  2. Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

    An der Tastatur

    Bislang konnten sich Mac-Nutzer relativ sicher fühlen. Inzwischen kursierte aber die erste Ransomware im Netz, die auch OS X infiziert. Sie verschlüsselt Daten und erpresst Lösegeld vom Anwender. Mac & i zeigt, wie Sie sich generell vor Malware schützen können und nennt die Hintergründe.

  3. Viren: So schützt du deinen Mac

    Passwort

    Wie du deinen Mac am besten gegen Viren schützt, erklären wir dir in unserem tipps+tricks-Artikel.

  1. Fahrbericht: Ford Expedition 2018

    Ford Expedition

    In den USA herrschen, was die richtige Fahrzeuggröße angeht, vielfach andere Vorstellungen als in Europa. Ein Ausflug mit dem für europäische Verhältnisse riesigen, auf dem US-Markt recht populären Ford Expedition 2018 zeigt dies eindrücklich

  2. Der Fluss der Kommerzialisierung

    Auf der Suche nach postpersönlichen Realitäten oder: Wie das Internet seine Zukunft als Medium der Nähe aufs Spiel setzt

  3. Erste Ausfahrt: VW Up GTI

    VW Up GTI

    Der aktuelle VW Up wird voraussichtlich im nächsten Jahr einen Nachfolger bekommen. Die letzte große Neuerung dieser Generation ist der lang angekündigte 115-PS-Dreizylinder im Up GTI.

  4. Hamburger Fotofahndung - 20 mutmaßliche G20-Gewalttäter ermittelt

    Hamburger Fotofahndung - 20 mutmaßliche G20-Gewalttäter ermittelt

    Vor einem Monat hat die Hamburger Polizei mehr als 100 Fotos von mutmaßlichen G20-Gewalttätern im Internet veröffentlicht. Das Vorgehen zahlt sich für die Ermittler offensichtlich aus, stößt aber weiterhin auf Kritik.

Anzeige