Erst vor Kurzem warnte die Melde- und Analysestelle Informationssicherheit des Bundes (Melani) davor, dass Cyberkriminelle zunehmend gezielte Angriffe auf Mac-Rechner starten. Nun haben Experten des japanischen IT-Sicherheitsdienstleisters Trend Micro eine Malware-Kampagne entdeckt, die explizit Schweizer Nutzerinnen und Nutzer von Apple-Rechnern ins Visier nimmt. Wie das Unternehmen in einem Blog-Beitrag schreibt, verteilen Hacker derzeit betrügerische E-Mails, in deren Anhang sich der E-Banking-Trojaner OSX_DOK versteckt. Abgesehen haben es die Hintermänner auf Anmeldedaten für Online-Banking-Dienste.

Gemäss den Experten sind die Betrugsmails als Nachrichten der Zürcher Polizei getarnt. Im Anhang befindet sich eine ZIP-Datei, die nach dem Öffnen eine schädliche Anwendung auf den Mac-Rechnern ausführt. In einem ersten Schritt entfernt diese den App-Store vom System und lässt danach eine gefälschte Update-Benachrichtigung aufpoppen. Die Meldung fragt nach dem Nutzerpasswort, womit sich die Hacker umfangreichen Zugriff auf den infizierten Rechner verschaffen.

Als Nächstes richtet der Trojaner gefälschte Sicherheitszertifikate ein, um einen Man-in-the-Middle-Angriff vorzubereiten. Auch die Installation weiterer Schadprogramme sei möglich. Weil die Systemzertifikate nur vom Apple-Browser Safari verwendet werden, ist lediglich dieser Browser angreifbar. Chrome oder Firefox seien hingegen vor dem Angriff geschützt, schreiben die Sicherheitsexperten weiter.

Im Anschluss installiert der Trojaner einen Zugang zum Tor-Netzwerk sowie zwei Proxy-Server. Der eine Proxy-Server überprüft anhand der IP-Adresse, ob das Opfer aus der Schweiz stammt. Trifft dies zu, wird der gesamte Netzwerkverkehr über den zweiten Proxy-Server auf das Tor-Netzwerk umgeleitet. In Safari blenden die Cyberkriminellen danach eine manipulierte E-Banking-Webseite ein. Diese kommt auf den ersten Blick ganz normal daher, befindet sich jedoch im Darknet. Sobald dort die Login-Daten eingegeben werden, erscheint eine Countdown-Box, die jedoch ausschliesslich zur Ablenkung dient und ein Eingreifen der Nutzerinnen und Nutzer herauszögert.

Die Auflistung betroffener Banken-Domains zeigt, dass der Trojaner nicht nur auf die grossen Finanzinstitute abzielt. Auch für die Portale kleinerer Banken haben die Cyberkriminellen täuschend echte Duplikate erstellt.

Trend Micro weist ebenfalls darauf hin, dass derzeit ein praktisch identischer Angriff auf Schweizer Windows-Nutzer abzielt. Damit versuchen die Hacker, den Trojaner Retefe zu verteilen.

Der IT-Sicherheitsdienstleister bringt die neue Attacke auf Mac-Rechner deshalb mit der sogenannten «Operation Emmental» in Verbindung. Dabei handelte es sich um einen gezielten Cyberangriff auf Bankkunden in der Schweiz, Österreich, Schweden und Japan im Jahr 2014. Opfer wurden damals dazu gebracht, schädliche Apps auf ihren Computern und Smartphones zu installieren, damit Hacker die Zwei-Faktor-Authentifizierung umschiffen konnten.