OSX/Dok: a ameaça para Mac que rouba dados bancários


Por em

A Check Point lançou um alerta para o malware OSX/Dok, que afeta utilizadores de Mac residentes na Europa. O OSX/Dok consegue tomar o controlo do tráfego web e roubar credenciais bancárias. De acordo com a multinacional de cibersegurança, trata-se de uma variante do Trojan bancário Retefe, que há já alguns anos tem vindo a afetar sistemas Windows.

O OSX/Dok distribui-se através de uma campanha de phishing. Isto não teria nada de surpreendente, não fosse o caso de se dirigir especificamente aos utilizadores do macOS que, de uma maneira geral, acreditam erradamente que o eu equipamento é imune a ciberameaças. A vítima recebe um email com um ficheiro zip anexo, que instala o malware e faz com que o sistema operativo desative as atualizações de segurança do computador. Depois, lança um ataque de Man-in-the-Middle, permitindo um acesso completo a todas as comunicações da vítima, mesmo que esteja a utilizar uma encriptação SSL. Além disso, os autores do malware utilizam certificados legítimos de programador da Apple para tornar a sua deteção ainda mais difícil.

Este malware geolocaliza o endereço IP da vítima e, de acordo com o país europeu em que esteja, redireciona o seu tráfego utilizando um proxy. Cada vez que o utilizador tenta entrar no portal de uma entidade bancária, é enviado para uma página falsa, que lhe pede as suas credenciais de identificação.

A Check Point dá alguns conselhos que permitirão identificar estes websites fraudulentos:

  • Comprovar o ano do copyright. O centro de Comando e Control do OSX/Dok utiliza capturas antigas dos portais dos principais bancos europeus. Na sua versão do banco “Credit Suisse”, por exemplo, aparece o ano 2013 como se fosse o atual.
  • Falta o certificado SSL original. É difícil de observar à primeira vista, já que o malware instala um certificado falso, mas que pode ser identificado se for comparado com o verdadeiro. Em vez de indicar o nome da entidade bancária, apenas mostra a palavra “secure”.
  • Desaparece o token de autentificação da url. A autenticação baseada em token assegura que cada pedido feito a um servidor é acompanhado de um token assinado que o servidor verifica e só então responde. Neste caso, não há qualquer token, uma vez que a comunicação é feita com o servidor C&C e não com o real.

O website fraudulento também pode pedir para instalar uma app móvel através de um código QR ou de um SMS por motivos de segurança. Atualmente, a mensagem de texto descarrega a aplicação de mensagens Signal, embora em qualquer momento os cibercriminosos possam modificar o link para inserir malware no smartphone da vítima.

Para evitar uma infeção por OSX/Dok, a Check Point recomenda aos utilizadores que nunca abram emails ou ficheiros anexos enviados por desconhecidos.

Leia também

Ou veja mais notícias de outros

Acompanhe ao minuto as últimas noticias de tecnologia. Siga-nos no Facebook, Twitter, Instagram! Quer falar connosco? Envie um email para geral@leak.pt.
Anterior

Hisense C30 Lite: Boas características por 199 Euros

Koleos: Tudo sobre o novo SUV topo-de-gama da Renault

Seguinte