Segundo a Check Point, OSX/Dok é uma variante do Trojan bancário Retefe, que há vários anos ataca os sistemas Windows
Comunicado de imprensa – A Check Point lança um alerta sobre o malware OSX/Dok, que afeta utilizadores de Mac residentes na Europa. O OSX/Dok consegue tomar o controlo do tráfego web e roubar credenciais bancárias. De acordo com a multinacional de cibersegurança, trata-se de uma variante do Trojan bancário Retefe, que há já alguns anos tem vindo a afetar sistemas Windows.
O OSX/Dok distribui-se através de uma campanha de phishing. Isto não teria nada de surpreendente, não fosse o caso de se dirigir especificamente aos utilizadores do macOS que, de uma maneira geral, acreditam erradamente que o eu equipamento é imune a ciberameaças. A vítima recebe um email com um ficheiro zip anexo, que instala o malware e faz com que o sistema operativo desative as atualizações de segurança do computador. Depois, lança um ataque de Man-in-the-Middle, permitindo um acesso completo a todas as comunicações da vítima, mesmo que esteja a utilizar uma encriptação SSL. Além disso, os autores do malware utilizam certificados legítimos de programador da Apple para tornar a sua deteção ainda mais difícil.
Este malware geolocaliza o endereço IP da vítima e, de acordo com o país europeu em que esteja, redireciona o seu tráfego utilizando um proxy. Cada vez que o utilizador tenta entrar no portal de uma entidade bancária, é enviado para uma página falsa, que lhe pede as suas credenciais de identificação.
A Check Point dá alguns conselhos que permitirão identificar estes websites fraudulentos:
- Comprovar o ano do copyright. O centro de Comando e Control do OSX/Dok utiliza capturas antigas dos portais dos principais bancos europeus. Na sua versão do banco “Credit Suisse”, por exemplo, aparece o ano 2013 como se fosse o atual.
- Falta o certificado SSL original. É difícil de observar à primeira vista, já que o malware instala um certificado falso, mas que pode ser identificado se for comparado com o verdadeiro. Em vez de indicar o nome da entidade bancária, apenas mostra a palavra “secure”.
- Desaparece o token de autentificação da url. A autenticação baseada em token assegura que cada pedido feito a um servidor é acompanhado de um token assinado que o servidor verifica e só então responde. Neste caso, não há qualquer token, uma vez que a comunicação é feita com o servidor C&C e não com o real.
O website fraudulento também pode pedir para instalar uma app móvel através de um código QR ou de um SMS por motivos de segurança. Atualmente, a mensagem de texto descarrega a aplicação de mensagens Signal, embora em qualquer momento os cibercriminosos possam modificar o link para inserir malware no smartphone da vítima.
Depois da publicação do relatório anterior sobre o OSX/Dok, foi possível verificar que as semelhanças entre o OSX/Dok e o “Retefe”, que é um Trojan bancário já com alguns anos e principalmente ativo em plataformas Windows, permitem concluir que, de facto, o OSX/Dok é o mesmo malware “importado” do Windows.
A Check Point prevê que no futuro próximo os cibercriminosos continuarão a adaptar para o macOS mais ameaças que tenham sido originalmente criadas para o Windows. As razões principais prendem-se com o menor número de produtos de segurança de qualidade existentes para os sistemas da Apple, e a sua crescente popularidade. Segundo a Gartner, os Mac triplicaram a sua quota de mercado total em menos de uma década.
Para evitar uma infeção por OSX/Dok, a Check Point recomenda aos utilizadores que nunca abram emails ou ficheiros anexos enviados por desconhecidos.
Para saber mais acerca do malware OSX/DOK, visite o blogue da Check Point:
https://blog.checkpoint.com/2017/07/13/osxdok-refuses-go-away-money/
