OSX/Dok: a ameaça para Mac que rouba dados bancários

568
1
Share:

A Check Point lançou um alerta para o malware OSX/Dok, que afeta utilizadores de Mac residentes na Europa. O OSX/Dok consegue tomar o controlo do tráfego web e roubar credenciais bancárias. De acordo com a multinacional de cibersegurança, trata-se de uma variante do Trojan bancário Retefe, que há já alguns anos tem vindo a afetar sistemas Windows.

O OSX/Dok distribui-se através de uma campanha de phishing. Isto não teria nada de surpreendente, não fosse o caso de se dirigir especificamente aos utilizadores do macOS que, de uma maneira geral, acreditam erradamente que o eu equipamento é imune a ciberameaças. A vítima recebe um email com um ficheiro zip anexo, que instala o malware e faz com que o sistema operativo desative as atualizações de segurança do computador. Depois, lança um ataque de Man-in-the-Middle, permitindo um acesso completo a todas as comunicações da vítima, mesmo que esteja a utilizar uma encriptação SSL. Além disso, os autores do malware utilizam certificados legítimos de programador da Apple para tornar a sua deteção ainda mais difícil.

Este malware geolocaliza o endereço IP da vítima e, de acordo com o país europeu em que esteja, redireciona o seu tráfego utilizando um proxy. Cada vez que o utilizador tenta entrar no portal de uma entidade bancária, é enviado para uma página falsa, que lhe pede as suas credenciais de identificação.

A Check Point dá alguns conselhos que permitirão identificar estes websites fraudulentos:

  • Comprovar o ano do copyright. O centro de Comando e Control do OSX/Dok utiliza capturas antigas dos portais dos principais bancos europeus. Na sua versão do banco “Credit Suisse”, por exemplo, aparece o ano 2013 como se fosse o atual.
  • Falta o certificado SSL original. É difícil de observar à primeira vista, já que o malware instala um certificado falso, mas que pode ser identificado se for comparado com o verdadeiro. Em vez de indicar o nome da entidade bancária, apenas mostra a palavra “secure”.
  • Desaparece o token de autentificação da url. A autenticação baseada em token assegura que cada pedido feito a um servidor é acompanhado de um token assinado que o servidor verifica e só então responde. Neste caso, não há qualquer token, uma vez que a comunicação é feita com o servidor C&C e não com o real.

O website fraudulento também pode pedir para instalar uma app móvel através de um código QR ou de um SMS por motivos de segurança. Atualmente, a mensagem de texto descarrega a aplicação de mensagens Signal, embora em qualquer momento os cibercriminosos possam modificar o link para inserir malware no smartphone da vítima.

Para evitar uma infeção por OSX/Dok, a Check Point recomenda aos utilizadores que nunca abram emails ou ficheiros anexos enviados por desconhecidos.

Share:
Patricia Fonseca

Dê a sua opinião