OSX-Schadsoftware mit Verbindung zu Operation Emmental kapert Netzwerkverkehr

von Rubio Wu, Threats Analyst

Die OSX_DOK-Schadsoftware (Trend Micro erkennt sie als OSX_DOK. C) zielt auf Maschinen mit dem OSX-Betriebssystem von Apple und umfasst fortgeschrittene Funktionalitäten, etwa für den Missbrauch von Zertifikaten und Umgehung von Sicherheitssoftware. Die Schadsoftware zielt in erster Linie auf Banking-Nutzer in der Schweiz. Sie nutzt eine Phishing-Kampagne, um die Payload abzulegen, die dann über einen Man-in-the- Middle (MitM)-Angriff den Netzwerkverkehr eines Nutzers kapert. OSX_DOK.C scheint eine weitere Version von WERDLOD (von Trend Micro als TROJ_WERDLOD identifiziert) zu sein, eine Schadsoftware, die in den Operation Emmental-Kampagnen zum Einsatz kam – eine interessante Entwicklung.

Übertragungsmethode und Infektionsablauf



Bild 1: OSX_DOK.C-Infektionsroutine für Mac-Systeme

OSX_DOK.C wird über eine Phishing-Mail verbreitet, die bestimmte Dateien enthält, entweder als .zip oder .docx. Die von den Sicherheitsforschern von Trend Micro analysierten Samples umfassten eine Nachricht, die vorgeblich von einer Polizeiinspektion in Zürich kam und behauptete, den Empfänger erfolglos kontaktiert zu haben. Zwei angehängte Dateien gaben vor, Fragen für den Nutzer zu enthalten: eine .zip-Datei ist eine gefälschte OSX-App, während die andere .docx-Datei dazu verwendet wird, dieWindows-Betriebssysteme über WERDLOD anzupeilen. Beide Samples arbeiten als Banking-Trojaner und liefern ähnliche Funktionalitäten.

Einige Beispiele von Dateien, die im Mail-Anhang eingesetzt wurden, sind die folgenden:

  • Zahlungsinformationen 01.06.2017.zip
  • Zahlungsinformationen digitec.zip
  • zip
  • Dokument 09.06.2017.zip
  • Dokument 09.06.2017.docx
  • docx
  • docx
  • 06.2017.docx

Übertragungsmethode und Infektionsablauf



Bild 1: OSX_DOK.C-Infektionsroutine für Mac-Systeme

OSX_DOK.C wird über eine Phishing-Mail verbreitet, die bestimmte Dateien enthält, entweder als .zip oder .docx. Die von den Sicherheitsforschern von Trend Micro analysierten Samples umfassten eine Nachricht, die vorgeblich von einer Polizeiinspektion in Zürich kam und behauptete, den Empfänger erfolglos kontaktiert zu haben. Zwei angehängte Dateien gaben vor, Fragen für den Nutzer zu enthalten: eine .zip-Datei ist eine gefälschte OSX-App, während die andere .docx-Datei dazu verwendet wird, dieWindows-Betriebssysteme über WERDLOD anzupeilen. Beide Samples arbeiten als Banking-Trojaner und liefern ähnliche Funktionalitäten.

Einige Beispiele von Dateien, die im Mail-Anhang eingesetzt wurden, sind die folgenden:

  • Zahlungsinformationen 01.06.2017.zip
  • Zahlungsinformationen digitec.zip
  • zip
  • Dokument 09.06.2017.zip
  • Dokument 09.06.2017.docx
  • docx
  • docx
  • 06.2017.docx

Sobald die docx-Datei in der Phishing-Mail angeklickt wird, öffnet sich ein Warnfenster:


Bild 2: Warnfenster auf OSX

Danach wird der App Store auf dem System entfernt und ein gefälschter OSX-Update-Screen füllt den Bildschirm.


Bild 3: Gefälschter OSX-Update-Screen

Er verlangt ein Passwort, um Befehle als Root auszuführen.


Bild 4: Gefälschter OSX-Update-Screen

Die Schadsoftware beginnt, weitere Utilities herunterzuladen. Dabei nutzt sie Homebrew, einen quelloffenen Softwarepaket-Manager, um Golang und Tor zu installieren. Die Schadsoftware installiert gefälschte Zertifikate auf dem System, um einen MitM-Angriff auszuführen.

Die Struktur des gefälschten App Stores entspricht der Application Bundle Structure und liefert sowohl deutsche als auch englische Schnittstellen. Das Haupt-Executable ist Dokument.app/Contents/MacOS/AppStore.

Mac OSX führt die Anwendung aus, wenn sie die Zertifikate vorweist. In diesem Fall ist die Schadsoftware von einem “Entwickler” signiert, der ein Dummy-Konto oder das Konto eines kompromittierten Nutzers sein kann. Auch ist der Zeitstempel auf dem CA neu, und das bedeutet, dass er speziell für diesen Angriff erstellt wurde. Das gefälschte Zertifikat imitiert das COMODO Root-Zertifikat. Es enthält kein COMODO Certificate Authority-Siegel, das die Gültigkeit bestätigt:


Bild 5: Vergleich zwischen einem gefälschten COMODO Root-Zertifikat (links) und einem echten COMODO-Zertifikat (rechts)

Die Sicherheitsforscher stellten fest, dass die Schadsoftware mit Mozilla Firefox oder Google Chrome nicht funktioniert, denn diese beiden Browser haben ihre eigenen Root-Zertifikate. Allein Safari nutzt die Zertifikate des Systems.

Die Angreifer zielen in derselben Spam-Mail vom 9. Juni 2017 sowohl auf Windows als auch auf Mac OSX. Es gibt einen in die bösartige .docx-Datei eingebetteten Datei-Shortcut, der ein Executable von Dropbox herunterlädt, das ausgeführt wird, wenn der Nutzer es anklickt.

Die Funktionalität ist ähnlich der gelieferten bösartigen App, einschliesslich der Installation von Tor und von Proxies. Dropbox ist bereits darüber informiert, dass der Dienst für diese Schadsoftware missbraucht wird, und hat die Links geschlossen. Die Schadsoftware installiert zwei Proxies auf dem lokalen Host Port 5555 und 5588. Der gesamte Verkehr wird ins erste Proxy (Port 5555) gekapert mit der externen IP-Adresse des Opfers als Parameter.


Bild 6: Installation von Proxies auf dem lokalen Host Port 5555

Der erste (Port 5555) Proxy findet zuerst die IP-Parameter. Ist es nicht die Schweiz, so läuft der Verkehr normal. Ist eine Schweizer IP-Adresse, führt die Schadsoftware einen versteckten JavaScript-Code aus und findet die besuchte Domäne. Ist die Domäne im Ziel, führt die Malware einen MitM-Angriff aus und leitet den Verkehr zum zweiten Proxy (Port 5588) um, der ihn ins Tor-Network routet. Der Zweck dieser Schritte ist es, Nutzer in der Schweiz zu treffen und ihren Verkehr zu kapern. Nachdem die Forscher die Schadsoftware enttarnt hatten, fanden sie die Zieldomänen:

Bild 7: Hardcodierte Liste von anvisierten Banking Websites in der Schweiz

Die Besucher der anvisierten Domänen werden auf eine E-Banking Loginseite umgeleitet, die normal aussieht und sich auch so verhält, aber tatsächlich auf einer Darkweb-Site ist.

Sobald das Opfer Konto und Passwort eingibt, geht ein Fenster auf.


Bild 8: Kapern der Verbindung zur EKR-Bank

In dem Fenster passiert nichts Wirkliches, soblad der Zähler auf Null steht.

Die Analyse der Webseite zeigt, dass die Angreifer ein Script eingefügt hatten. Sobald das Opfer Konto und Passwort eingibt, stößt das Script über AJAX POST an. Die POST-Nachricht wird an dieselbe Site mit der gefälschten Loginseite gesendet, die ein Angreifer innerhalb von Tor kontrollieren kann

Bild 9: POST-Nachricht mit Argument

Im Datenabschnitt fanden die Analysten nicht nur Konto und Passwort, sondern auch den Fingerabdruck des Browsers und Systeminformationen des Nutzers.

Operation Emmental konnte die Zweifaktor-Authentifizierung umgehen, indem die Opfer dazu gebracht wurden, eine gefälschte App zu installieren. OSX_DOK.C scheint dies nicht zu tun, auch wenn die Malware es könnte.

Auch eine statische Analyse führten die Sicherheitsforscher durch. Die Ergebnisse liefert der Originalbeitrag.

Verbindung zwischen OSX_DOK.C und WERDLOD

Wie bereits erwähnt, könnte OSX_DOK.C die MAC OSX-Version von WERDLOD sein, einer Online-Banking Malware, die dieselben Techniken wie Operation Emmental einsetzte. Andere Forscher stellten ebenfalls eine Verbindung zwischen der OSX Malware und Retefe (der externe Begriff für WERDLOD) her. Sie unterscheiden sich darin, dass die eine auf Mac-Systeme und die andere auf Windows-Systeme abzielt, doch in Bezug auf Funktionalitäten und Verhalten sind sie sich sehr ähnlich:

Beide Malware stoppen den aktuellen Browser, bevor sie gefälschte Zertifikate installieren:Während WERDLOD die Prozesse für den Internet Explorer, Firefox und Chrome stoppt, tut OSX_DOK.C dies für Safari, Firefox und Chrome.

Beide nutzen dieselben Proxy-Einstellungen und das Script-Format: Zwar nutzen WERDLOD und OSX_DOK.C verschiedene Codes für unterschiedliche Betriebssysteme, doch haben sie ähnliche Proxy Settings Und Script-Formate.


Bild 10: Local Area Network (LAN) Settings

Beide haben ähnliche Ziele im Visier: Sie zielen auf Finanzinstitute, vor allem Banken in der Schweiz. Die Analyse beider Schädlinge zeigte, dass ihre Hauptziele sehr ähnlich sind.

Angesichts der Verbindung zwischen WERDLOD und OSX_DOK.C lässt sich annehmen, dass letztere Schadsoftware auch Teil der Operational Emmental-Kampagne ist. Dies zeigt auch die Zeitachse der Operation Emmental und die mögliche Beziehung zu relationship to OSX_DOK.C:

Bild 11: Verbindung zwischen Operation Emmental und OSX_DOK.C

Gegenmassnahmen und Trend Micro-Lösungen

Auch wenn Phishing-Angriffe für Mac-Geräte seltener vorkommen als für Windows, sollten Nutzer dennoch im Hinterkopf behalten, dass Angreifer sie wann immer ins Visier nehmen können. Sie sollten sich an Best Practices für Phishing-Angriffe halten, so etwa keine Dateien herunterzuladen, ohne sich sicher zu sein, dass diese aus vertrauenswürdigen Quellen stammen.

Des Weiteren können Endbenutzer von Sicherheitslösungen wie Trend Micro Antivirus für Mac profitieren, die umfassenden Schutz vor Viren, Ransomware, bösartigen Websites und Identitätsdiebstahl gewährleisten können. Auch bietet die Lösung das sichere Speichern von Passwörtern und anderen kritischen Informationen. Trend Micro Mobile Security für Apple-Geräte (erhältlich im App Store) kann Phishing-Angriffe und bösartige URLs überwachen und blocken.

Trend Micro™ Smart Protection for Endpoints mit XGen™ Security kombiniert Machine Learning-Technologien mit einer Reihe von Schutztechniken, um alle Sicherheitslücken auf jeglichen Endpunkten zu schliessen und so den bestmöglichen Schutz vor fortgeschrittenen Angriffen zu liefern.

Zusätzliche Analysen von Yi-Jhen Hsieh, DSNS Lab, National Chiao Tung University