Malware ist auf dem Mac immer noch selten, eine Häufung an Vorfällen scheint es aber in der Schweiz zu geben: Die von Trend Micro jetzt ausführlich untersuchte Malware OSX_DOK ist nicht ganz neu, sie ähnelt sehr stark einer im April aufgetauchten Malware .
Das Vorgehen ähnelt den Angriffen vor einigen Monaten: Das Opfer erhält eine E-Mail mit Dateianhang, im vorliegenden Fall handelte es sich angeblich um eine Nachricht eines Polizeiinspektors aus Zürich. Ziel sind offensichtlich Schweizer, bei einer der früheren Angriffe gaben sich die Angreifer als Mitarbeiter der Eidgenössischen Steuerverwaltung aus. Der Dateianhang enthält mehrere Dateien, darunter eine Word-Datei mit der Dateiendung docx. Klickt man auf die Datei, sieht man ein Warnfenster, die Datei könne nicht geöffnet werden. Im Hintergrund startet das Tool dann aber ein Vollbildfenster, das zur Installation eines OSX-Updates auffordert.
Das Fenster kann nicht weggeklickt werden, man soll die angebliche Installation mit Angabe seines Nutzerkennworts bestätigen. Tut man dies, lädt das Tool eine Reihe an Hintergrundtools, die das Ausspähen des Rechners ermöglichen. So wird ein gefälschtes Zertifikat installiert und ab sofort alle Internetverbindungen über einen Proxy-Server umgeleitet. Ziel der Malware ist das Abfangen von Bankdaten, bei Aufruf einer E-Banking-Seite Schweizer Banken wird er nämlich auf eine täuschend ähnliche Fake-Seite umgeleitet. Gibt man hier sein Passwort und Kennwort ein, sieht man eine Popup-Window, das den Anwender zum Warten auffordert. Dies soll aber nur verschleiern, dass gerade die Kennwörter gestohlen wurden. Nach Einschätzung der Forscher von Trend Micro könnte es sich um eine Mac-Version der Banking-Malware WERDLOD handeln, die schon seit 2012 aktiv ist. Bekannt sind diese Angriffe auch als „Operation Emmental“. Als Schutz vor solchen Angriffen empfiehlt Trend Micro auf bekannte Schutzmaßnahmen gegen Phishing zu achten, etwa keine unbekannten Dateien zu laden (oder Dateianhänge zu öffnen).
Autor: Stephan Wiesend, Autor
Stephan Wiesend schreibt seit 2001 für IDG Artikel zu den Themen Mac-OS, iOS, Software, Hardware und Praxis. Seit 2003 arbeitet er als freier Autor in München und hat bereits mehrere Bücher zum Thema Apps veröffentlicht.