Mac恶意软件DoK变种 劫持流量并重定向至钓鱼页面 主要攻击瑞士金融机构

简介:

瑞士Operation Emmental黑客行动背后的始作俑者,开始使用Dok Mac OS X 恶意软件 的变种来攻击瑞士银行。在 2014年7月, 趋势科技的恶意软件研究人员发表了一份关于黑客行动 "Operation Emmental"的报告, 该次行动针对瑞士银行账户进行了多方面的攻击, 金融机构实施的两个认证因子都被攻击者绕过。

据专家介绍, Operation Emmental的起源可以追溯到2012年。专家们把这项运动称为 "Operation Emmental", 因为瑞士银行的安全漏洞很多, 就像瑞士Emmental奶酪一样。

黑客使用了一个恶意软件, 它能够拦截用于授权操作的短信令牌, 并更改域名系统设置, 以劫持受害者到伪造银行网站,进行网络钓鱼攻击。

攻击者攻击了不同国家的银行客户账户, 包括瑞士、奥地利、日本和瑞典。调查人员对源代码中发现的适当线索进行分析后,怀疑是幕后黑手是说俄语的人。

苹果恶意软件DOK变种

Operation Emmental背后的黑客继续改进他们的恶意代码。黑客使用的 android 恶意软件和 windows 银行木马经追踪是 Retefe 和 WERDLOD。这次对瑞士银行的攻击的新颖之处在于他们使用了DNK恶意软件的新变种。

恶意代码通过电子邮件传递, 一旦DOK恶意软件感染了 mac os 系统, 它就获得了管理员权限并安装新的根证书。这个根证书允许恶意代码拦截所有受害者的通信, 包括 ssl 加密的通信。

趋势科技的研究人员表示, 该恶意软件变种 OSX_DOK.C的配置为仅当受害者的外部 ip 位于瑞士时才发动劫持流量攻击。 OSX_DOK.C 将用户重定向至假的银行登录页。公布的报告称,

"OSX_DOK 恶意软件展示了一些复杂的功能, 如证书滥用和安全软件规避, 这会影响使用 apple osx 操作系统的机器.”

研究人员还表示,恶意软件的样本OSX_DOK.C 被认为是 Retefe/WERDLOD 的 mac 版本。

"而 WERDLOD 和 OSX_DOK.C使用不同的代码 (因为它们针对不同的操作系统), 它们具有类似的代理设置和脚本格式。"

和 OSX_DOK.C想比, 我们可以看到, 它使用相同的脚本格。

鉴于 WERDLOD 和 OSX_DOK.C 之间的联系, 可以进行合理的假设, 即后者也是Operational Emmental 行动的一部分, "

Operation Emmental osx dok

研究人员还观察到, 最新版本的Dok恶意软件利用Ultimate Packer for Executables(UPX)工具中的一个 bug来包装木马以避免检测。



原文发布时间:2017年7月11日

本文由:securityaffairs发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/dok-malware-operation-emmental

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
前端开发 应用服务中间件 C++
使用Servlet实现表白墙网站(前后端互联)小项目,Mac的M1(没有setting)在哪里找到Setting页面,下载smart tomcat及smart tomcat的配置。(二)
使用Servlet实现表白墙网站(前后端互联)小项目,Mac的M1(没有setting)在哪里找到Setting页面,下载smart tomcat及smart tomcat的配置。
使用Servlet实现表白墙网站(前后端互联)小项目,Mac的M1(没有setting)在哪里找到Setting页面,下载smart tomcat及smart tomcat的配置。(二)
|
3月前
|
缓存 安全 Linux
使用macof发起MAC地址泛洪攻击
使用macof发起MAC地址泛洪攻击
73 1
|
3月前
|
缓存 安全 Linux
使用macof发起MAC地址泛洪攻击
使用macof发起MAC地址泛洪攻击
68 2
|
JSON 前端开发 JavaScript
使用Servlet实现表白墙网站(前后端互联)小项目,Mac的M1(没有setting)在哪里找到Setting页面,下载smart tomcat及smart tomcat的配置。(一)
使用Servlet实现表白墙网站(前后端互联)小项目,Mac的M1(没有setting)在哪里找到Setting页面,下载smart tomcat及smart tomcat的配置。
|
7月前
|
消息中间件 JavaScript Docker
rabbitmq 3.9.29 docker mac 管理员页面无法打开
rabbitmq 3.9.29 docker mac 管理员页面无法打开
167 0
|
iOS开发 MacOS
Mac版网络调试助手打开多个页面
网络调试助手,直接在APP store下载。因为是两个网络调试助手之间的通信,因此我们需要双开该软件。
270 0
|
Web App开发 iOS开发 开发者
mac 下用 safari 调试 iOS 端页面
第一步:打开iphone手机的开发者模式,流程是:【设置】->【Safari】->【高级】->开启【Web检查器】
672 0
mac 下用 safari 调试 iOS 端页面
|
存储 算法 数据安全/隐私保护
MAC攻击及缺陷
MAC攻击及缺陷