Mac恶意软件DoK变种 劫持流量并重定向至钓鱼页面 主要攻击瑞士金融机构

瑞士Operation Emmental黑客行动背后的始作俑者，开始使用Dok Mac OS X 恶意软件 的变种来攻击瑞士银行。在 2014年7月, 趋势科技的恶意软件研究人员发表了一份关于黑客行动 "Operation Emmental"的报告, 该次行动针对瑞士银行账户进行了多方面的攻击, 金融机构实施的两个认证因子都被攻击者绕过。

据专家介绍, Operation Emmental的起源可以追溯到2012年。专家们把这项运动称为 "Operation Emmental", 因为瑞士银行的安全漏洞很多, 就像瑞士Emmental奶酪一样。

黑客使用了一个恶意软件, 它能够拦截用于授权操作的短信令牌, 并更改域名系统设置, 以劫持受害者到伪造银行网站，进行网络钓鱼攻击。

攻击者攻击了不同国家的银行客户账户, 包括瑞士、奥地利、日本和瑞典。调查人员对源代码中发现的适当线索进行分析后，怀疑是幕后黑手是说俄语的人。

苹果恶意软件DOK变种

Operation Emmental背后的黑客继续改进他们的恶意代码。黑客使用的 android 恶意软件和 windows 银行木马经追踪是 Retefe 和 WERDLOD。这次对瑞士银行的攻击的新颖之处在于他们使用了DNK恶意软件的新变种。

恶意代码通过电子邮件传递, 一旦DOK恶意软件感染了 mac os 系统, 它就获得了管理员权限并安装新的根证书。这个根证书允许恶意代码拦截所有受害者的通信, 包括 ssl 加密的通信。

趋势科技的研究人员表示, 该恶意软件变种 OSX_DOK.C的配置为仅当受害者的外部 ip 位于瑞士时才发动劫持流量攻击。 OSX_DOK.C 将用户重定向至假的银行登录页。公布的报告称，

"OSX_DOK 恶意软件展示了一些复杂的功能, 如证书滥用和安全软件规避, 这会影响使用 apple osx 操作系统的机器.”

研究人员还表示，恶意软件的样本OSX_DOK.C 被认为是 Retefe/WERDLOD 的 mac 版本。

"而 WERDLOD 和 OSX_DOK.C使用不同的代码 (因为它们针对不同的操作系统), 它们具有类似的代理设置和脚本格式。"

和 OSX_DOK.C想比, 我们可以看到, 它使用相同的脚本格。

鉴于 WERDLOD 和 OSX_DOK.C 之间的联系, 可以进行合理的假设, 即后者也是Operational Emmental 行动的一部分, "

研究人员还观察到, 最新版本的Dok恶意软件利用Ultimate Packer for Executables（UPX）工具中的一个 bug来包装木马以避免检测。

原文发布时间：2017年7月11日

本文由：securityaffairs发布，版权归属于原作者

原文链接:http://toutiao.secjia.com/dok-malware-operation-emmental

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站