Identificada ameaça que rouba credenciais bancárias de utilizadores Mac

Distribuído através de uma campanha de phishing, o OSX/Dok tira partido do facto da maioria dos utilizadores de macOS acreditarem que os seus equipamentos são imunes a ciberameaças.

A vítima recebe um e-mail com um ficheiro zip anexo, que instala o malware e faz com que o sistema operativo desative as atualizações de segurança do computador. Depois, lança um ataque de Man-in-the-Middle, permitindo um acesso completo a todas as comunicações da vítima, mesmo que esta esteja a utilizar uma encriptação SSL. Além disso, os autores do malware utilizam certificados legítimos de programador da Apple para tornar a sua deteção ainda mais difícil.

Este malware geolocaliza o endereço IP da vítima e, de acordo com o país europeu em que esteja, redireciona o seu tráfego utilizando um proxy. Cada vez que o utilizador tenta entrar no portal de uma entidade bancária, é enviado para uma página falsa, que lhe pede as suas credenciais de identificação.

O website fraudulento também pode pedir para instalar uma app móvel através de um código QR ou de um SMS por motivos de segurança. Atualmente, a mensagem de texto descarrega a aplicação de mensagens Signal, embora em qualquer momento os cibercriminosos possam modificar o link para inserir malware no smartphone da vítima.

Para a Check Point, para se conseguirem protegter, é imperativo que os utilizadores comprovem o ano do copyright. O centro de Comando e Controlo do OSX/Dok utiliza capturas antigas dos portais dos principais bancos europeus. Na sua versão do banco “Credit Suisse”, por exemplo, aparece o ano 2013 como se fosse o atual. Como forma de se manterem afastados deste tipo de infeção, a empresa de segurança aconselha também os utilizadores a identificar a falta do certificado SSL original. É difícil de observar à primeira vista, já que o malware instala um certificado falso, mas que pode ser identificado se for comparado com o verdadeiro. Em vez de indicar o nome da entidade bancária, apenas mostra a palavra “secure”. O desaparecimento do token de autentificação da url é outro indicador a ter em conta. A autenticação baseada em token assegura que cada pedido feito a um servidor é acompanhado de um token assinado que o servidor verifica e só então responde. Neste caso, não há qualquer token, uma vez que a comunicação é feita com o servidor C&C e não com o real.

A Check Point prevê que no futuro próximo os cibercriminosos continuem a adaptar para o macOS mais ameaças que tenham sido originalmente criadas para o Windows. As razões principais prendem-se com o menor número de produtos de segurança de qualidade existentes para os sistemas da Apple, e a sua crescente popularidade. Segundo a Gartner, os equipamentos Mac triplicaram a sua quota de mercado total em menos de uma década.