conejota - Fotolia

OSX/Dok: Banking-Trojaner zielt auf Apple-Nutzer

Mithilfe eines Entwicklerzertifikats überwand ein Mac-Schädling sämtliche Sicherheitsvorkehrungen. Wie sind die Cyberkriminellen beim Banking-Trojaner OSX/Dok vorgegangen?

Im Frühling 2017 trieb ein ganz neues Mitglied der weit verzweigten Familie der Banking-Trojaner sein Unwesen: OSX/Dok. Mithilfe eines seitens Apple signierten und damit autorisierten Entwicklerzertifikats überwand der Mac-Schädling sämtliche Sicherheitsvorkehrungen mühelos und manipulierte Webverbindungen, um an Login-Informationen für Online-Banking zu gelangen. Inzwischen hat Apple das Zertifikat zurückgezogen, doch die Cyberkriminellen scheinen sich deshalb noch lange nicht geschlagen zu geben – im Gegenteil, sie setzen noch eins oben drauf.

Es scheint so, als folgten die digitalen Verbrecher dem Motto: „Wenn ein Zertifikat nicht mehr funktioniert, dann kaufen wir eben ein neues.“ Sicherheitsforscher bei Check Point berichten, innerhalb der letzten Wochen hätten Unbekannte dutzende Zertifikate eingekauft. Dafür mussten sie sich bei Apples Entwicklerprogramm anmelden. Sobald die Mitgliedschaft abgeschlossen ist, stellt der kalifornische Konzern ihnen 99 US-Dollar pro angefordertes Zertifikat in Rechnung. Ausgestattet mit „frischen“ Entwicklerzertifikaten halten sich die Cyberkriminellen bis zu einem gewissen Punkt Schritt für Schritt ans bekannte Schema.

Sobald ihr Opfer versucht, die Webseite seiner Bank zu besuchen, leiten es die Angreifer auf ein Duplikat der Homepage um. Auf den ersten Blick ähnelt die falsche Seite stark der ersten. Anschließend öffnet sich ein Fenster. Dieses fordert den Nutzer dazu auf, aus Sicherheitsgründen die Messenger-App Signal auf seinem Smartphone zu installieren. Klickt dieser auf „ok“, erscheint die Login-Seite.

Nachdem das Opfer seinen Benutzernamen und sein Passwort eingegeben hat, wird er gebeten, eine bevorzugte Authentifizierungsmethode auszuwählen. Wenn es sich für „SMS“ (andere Möglichkeiten scheinen unbrauchbar) entschieden hat, muss er seine Mobilfunknummer angeben. In einem zweiten Schritt erhält der ahnungslose Nutzer schließlich einen Download-Link auf sein Smartphone und installiert Signal. Während er dadurch abgelenkt ist, loggt sich der Cyberkriminelle ungestört auf das Opfer-Konto ein und setzt seine verbrecherischen Vorhaben in die Tat um. Parallel schmuggelt der Angreifer versteckt im Dateipaket des legitimen Messenger Signal Malware auf das Mobilgerät des Bankkunden.

Zwei-Faktor-Authentifizierung leider zwecklos

Was für die Installation einer Messenger-App auf dem Smartphone des Opfers spricht, erscheint unklar. Ein Argument könnte darin bestehen, dass sich die Installation als Methode eignet, die Zwei-Faktor-Authentifizierung zu umgehen. In diesem Fall empfängt der Bankkunde üblicherweise eine SMS mit einem sogenannten One-Time-Passwort (OTP).

Dieses funktioniert nur für ein kurzes Zeitfenster (eine Sitzung) und muss eingegeben werden, bevor der Zugriff gewährt wird. Mithilfe der über Signal eingeschleusten Malware gelingt es dem Angreifer möglicherweise, diese SMS mit dem OTP als Inhalt abzufangen. Allerdings müsste der Cyberkriminelle dann schnell reagieren und das „Einmalpasswort“ verwenden, bevor es das Opfer tut. In diesem Fall bekäme der Bankkunde lediglich eine Fehlermeldung angezeigt, die möglicherweise nicht einmal sein Misstrauen erwecken würde.

Verwandtschaft mit Windows-Banking-Trojaner

Als die Sicherheitsforscher OSX/Dok genauer unter die Lupe nahmen, entdeckten sie einige Parallelen zu einer bereits seit einigen Jahren bekannten Malware, die es auf Windows-Systeme abgesehen hat. Der Banking Trojaner Retefe und OSX/Dok ähneln sich so sehr, dass die Wissenschaftler davon ausgehen, es handele sich bei OSX/Dok um nichts weiter als eine auf Apple-Betriebssysteme angepasste Version von Retefe. Angesichts dessen glauben sie, es könnte bei den Vorfällen um OSX/Dok um einen neuen Trend handeln.

 „Die Analysen um OSX/Dok zeigen, dass auch zunehmend Apple-User in den Fokus der Angreifer rücken.“

 Dirk Arendt, Check Point Software Technologies

Die Experten rechnen damit, dass Cyberkriminelle in Zukunft immer mehr Windows-Malware auf macOS übertragen könnten. Inwieweit das an der geringen Anzahl qualitativ hochwertiger Sicherheitsprodukte für macOS oder an der wachsenden Popularität der Apple-Rechner liegt, wissen nur die Cyberkriminellen selbst.

Fazit

Die Analysen um OSX/Dok zeigen, dass auch zunehmend Apple-User in den Fokus der Angreifer rücken und dass die macOS-Software mitnichten so viel sicherer ist, wie die Pendants bei Windows. Mac-Nutzer sollten sich genauso Gedanken um die Sicherheit ihrer Systeme machen wie Windows User.

Im beschriebenen Beispiel empfehlen sich Maßnahmen zur Erkennung von Zero-Day-Sicherheitslücken, Technologien zur Abwehr von Ransomware und zur Analyse von Vorgängen im Netzwerk. Zusätzlich wäre es natürlich noch besser, die Sicherheit in der Software direkt einzubauen, um Schwachstellen mit Security-by-Design-Ansätzen von vornherein zu minimieren, vor allem die mit kritischer Wirkung.

Über den Autor:
Dirk Arendt ist Leiter Public Sector & Government Relations bei Check Point Software Technologies.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

So funktioniert der Erpressungstrojaner Locky

Bedrohungen aus sicheren Quellen

Ein bedrohungszentriertes Sicherheitskonzept entwickeln

Artikel wurde zuletzt im August 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Betriebssystemsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close