Klanten van Zwitserse banken zijn het doelwit van Mac-malware die via e-mail wordt verspreid en het netwerkverkeer van slachtoffers onderschept. In april van dit jaar werd er al door securitybedrijven voor de 'Dok-malware' gewaarschuwd, maar de aanvalscampagne was vorige maand nog steeds actief.
De malware richt zich specifiek op klanten van Zwitserse banken, aldus anti-virusbedrijf Trend Micro. Om gebruikers te infecteren worden er e-mails verstuurd die van de Zwitserse politie afkomstig lijken. Als bijlage zijn er twee bestanden bijgevoegd, namelijk een docx-bestand dat wordt gebruikt om Windowsgebruikers aan te vallen en een zip-bestand dat een zogenaamde Mac-app is.
Zodra gebruikers de app openen verschijnt er een zogenaamd updatescherm van de App Store dat om beheerdersrechten vraagt. Als de gegevens zijn ingevoerd downloadt de malware software voor het uitvoeren van een man-in-the-middle-aanval. Zo worden er een malafide certificaat en Tor geïnstalleerd. De malware installeert vervolgens twee proxies die al het verkeer van het slachtoffer kunnen onderscheppen.
De eerste proxy controleert het ip-adres. Als het om een niet-Zwitsers ip-adres gaat, wordt het verkeer ongemoeid gelaten. Gaat het wel om een Zwitsers ip-adres en bezoekt het slachtoffer een banksite, dan wordt de man-in-the-middle-aanval uitgevoerd en het verkeer via de tweede proxy naar het Tor-netwerk gestuurd. De gebruiker wordt op deze manier naar een phishingsite gestuurd waar hij kan inloggen. Zodra de gebruiker inlogt verschijnt er een pop-up dat er een moment gewacht moet worden. In werkelijkheid zijn de inloggegevens dan al naar de aanvallers gestuurd.
Volgens de onderzoekers komen dit soort aanvallen veel minder voor bij Mac dan bij Windows. "Gebruikers moeten nog steeds alert zijn dat ze op elk moment kunnen worden aangevallen. Door het toepassen van best practices, zoals het niet downloaden van bestanden tenzij ze zeker van betrouwbare bronnen afkomstig zijn, kunnen gebruikers malware zoals Dok voorkomen, die misbruik proberen te maken van gebruikers die niet bekend zijn met phishing", zo waarschuwen ze.
Deze posting is gelocked. Reageren is niet meer mogelijk.