偽のmacOSアップデートを装い、感染したMacを偽のネットバンキングへ誘導する「OSX_DOK.C」が確認される。

セキュリティ

2017.07.12

記事内に広告が含まれています。

　偽のmacOSアップデートを装い、感染したMacを偽のネットバンキングへ誘導する「OSX_DOK.C」が確認されているそうです。詳細は以下から。

　セキュリティ企業Trend MicroのTrendLabs Blogによると、現在ヨーロッパでスイスの銀行を利用しているユーザーをターゲットとしたマルウェア「OSX_DOK.C」が発見され、感染を広げている様です。

New post: OSX Malware Linked to Operation Emmental Hijacks User Network Traffic https://t.co/MBPLASheCZ @TrendMicro

— TrendLabs (@TrendLabs) 2017年7月10日

The OSX_DOK malware (Detected by Trend Micro as OSX_DOK. C) showcases sophisticated features such as certificate abuse and security software evasion that affects machines using Apple’s OSX operating system.

TrendLabs Security Intelligence BlogOSX Malware Linked to Operation Emmental Hijacks User Network Traffic – TrendLabs Security Intelligence Blog

感染経路と実行ファイル

　OSX_DOK.Cは偽のチューリッヒ警察からのメッセージに添付され拡大を広げているようで、OSX/Dokど同様に実行すると偽のApp StoreをmacOSにインストールし、インストールされたMacを中間者攻撃に利用したり、ユーザーのネットワーク・トラフィックを収集し盗み出す様に開発されており、

フィッシングメールに添付され感染を拡大中。
添付ファイルの.docxまたは.zipファイルをクリックすると「このファイルは開けません」というエラーを表示。
[OK]ボタンを押すと、App StoreをmacOSから削除。
偽のmacOSアップデートスクリーンを表示し、パスワード入力を求める。
パスワードを入力するとHomebrewでTorをインストール。
macOSに偽の認証書をインストールし、中間者攻撃を実行。
プロキシ設定を変え、ユーザーのトラフィックをハイジャック。

加えて、偽のインターネットバンキングのログイン画面を表示し、ユーザーがアカウントとパスワードを入力するとPOSTデータを悪意のある攻撃者がコントロールしているネットワークに転送する様に設定＆開発されているそうです。

The target domain’s visitors will be redirected into an e-banking login page that looks and acts normally, but is located on dark web sites.[…]Once the user enters an account and password, it will initiate POST using AJAX. The POST message is sent to the same site as the fake login page—which an attacker can control inside the Tor network.

TrendLabs Security Intelligence BlogOSX Malware Linked to Operation Emmental Hijacks User Network Traffic – TrendLabs Security Intelligence Blog

　Trend Microはこのマルウェアをネットバンキングのアカウントを狙う「エメンタル作戦」の1つとしており、以前はWindowsプラットフォームをターゲットとしたエメンタル攻撃が”レア”なMacもターゲットにしてきているとして、Macユーザーに対しこの様なフィッシング詐欺があることを認識する必要があるとコメントしています。