E-Banking-Trojaner: Schweizer Mac-User als Zielscheiben

Sicherheitsexperten von Trend Micro warnen vor dem Trojaner OSX_DOK, der explizit Mac-User aus der Schweiz ins Visier nimmt. Offenbar gibt es Parallelen zu einer grossangelegten Malware-Kampagne aus dem Jahr 2014, die auf Schweizer Bankkunden abzielte.

von Luca Perler 11.07.2017 12:45

Erst vor Kurzem warnte die Melde- und Analysestelle Informationssicherheit des Bundes (Melani) davor, dass Cyber-Kriminelle zunehmend gezielte Angriffe auf Mac-Rechner starten. Nun haben Experten des japanischen IT-Sicherheitsdienstleisters Trend Micro eine Malware-Kampagne entdeckt, die explizit Schweizer Nutzerinnen und Nutzer von Apple-Rechnern ins Visier nimmt. Wie das Unternehmen in einem Blog-Beitrag schreibt, verteilen Hacker derzeit betrügerische E-Mails, in deren Anhang sich der E-Banking-Trojaner OSX_DOK versteckt. Abgesehen haben es die Hintermänner auf Anmeldedaten für Online-Banking-Dienste.

So läuft der Angriff ab So läuft der Angriff ab © Trend Micro

Gemäss den Experten sind die Betrugs-Mails als Nachrichten der Zürcher Polizei getarnt. Im Anhang befindet sich eine ZIP-Datei, die nach dem Öffnen eine schädliche Anwendung auf den Mac-Rechnern ausführt. In einem ersten Schritt entfernt diese den App-Store vom System und lässt danach eine gefälschte Update-Benachrichtigung aufpoppen. Die Meldung fragt nach dem Nutzerpasswort, womit sich die Hacker umfangreichen Zugriff auf den infizierten Rechner verschaffen.

Das Nutzerpasswort verschafft dem Trojaner umfangreiche Rechte Das Nutzerpasswort verschafft dem Trojaner umfangreiche Rechte © Trend Micro

Als nächstes richtet der Trojaner gefälschte Sicherheitszertifikate ein, um einen Man-in-the-Middle-Angriff vorzubereiten. Auch die Installation weiterer Schadprogramme sei möglich. Weil die System-Zertifikate nur vom Apple-Browser Safari verwendet werden, ist lediglich dieser Browser angreifbar. Chrome oder Firefox seien hingegen vor dem Angriff geschützt, schreiben die Sicherheitsexperten weiter.

Nächste Seite: Schweizer Apple-User im Fokus

Schweizer Apple-User im Fokus

Der eingeblendete Countdown, hier auf einer Fake-Seite der Ersparniskasse Rüeggisberg, soll User vom Eingreifen abhalten Der eingeblendete Countdown, hier auf einer Fake-Seite der Ersparniskasse Rüeggisberg, soll User vom Eingreifen abhalten © Trend Micro

Im Anschluss installiert der Trojaner einen Zugang zum Tor-Netzwerk sowie zwei Proxy-Server. Der eine Proxy-Server überprüft anhand der IP-Adresse, ob das Opfer aus der Schweiz stammt. Trifft dies zu, wird der gesamte Netzwerkverkehr über den zweiten Proxy-Server auf das Tor-Netzwerk umgeleitet. In Safari blenden die Cyber-Kriminellen danach eine manipulierte E-Banking-Webseite ein. Diese kommt auf den ersten Blick ganz normal daher, befindet sich jedoch auf dem Darknet. Sobald dort die Login-Daten eigegeben werden erscheint eine Countdown-Box, die jedoch ausschliesslich zur Ablenkung dient und ein Eingreifen der Nutzerinnen und Nutzer herauszögert.

Das sind die betroffenen Banken-Domains Das sind die betroffenen Banken-Domains © Trend Micro

Die Auflistung betroffener Banken-Domains zeigt, dass der Trojaner nicht nur auf die grossen Finanzinstitute abzielt. Auch für die Portale kleinerer Banken haben die Cyber-Kriminellen täuschend echte Duplikate erstellt.

Die «Operation Emmental» im Zeitverlauf Die «Operation Emmental» im Zeitverlauf © Trend Micro

Trend Micro weist ebenfalls darauf hin, dass derzeit ein praktisch identischer Angriff auf Schweizer Windows-Nutzer abzielt. Damit versuchen die Hacker den Trojaner Retefe zu verteilen.

Der IT-Sicherheitsdienstleister bringt die neue Attacke auf Mac-Rechner deshalb mit der sogenannten «Operation Emmental» in Verbindung. Dabei handelte es sich um einen gezielten Cyber-Angriff auf Bankkunden in der Schweiz, Österreich, Schweden und Japan im Jahr 2014. Opfer wurden damals dazu gebracht, schädliche Apps auf ihren Computern und Smartphones zu installieren, damit Hacker die Zwei-Faktor-Authentifizierung umschiffen konnten. 

Phishing erkennen