Schweizer Apple-User im Fokus

Im Anschluss installiert der Trojaner einen Zugang zum Tor-Netzwerk sowie zwei Proxy-Server. Der eine Proxy-Server überprüft anhand der IP-Adresse, ob das Opfer aus der Schweiz stammt. Trifft dies zu, wird der gesamte Netzwerkverkehr über den zweiten Proxy-Server auf das Tor-Netzwerk umgeleitet. In Safari blenden die Cyberkriminellen danach eine manipulierte E-Banking-Webseite ein. Diese kommt auf den ersten Blick ganz normal daher, befindet sich jedoch im Darknet. Sobald dort die Login-Daten eingegeben werden, erscheint eine Countdown-Box, die jedoch ausschliesslich zur Ablenkung dient und ein Eingreifen der Nutzerinnen und Nutzer herauszögert.

Die Auflistung betroffener Banken-Domains zeigt, dass der Trojaner nicht nur auf die grossen Finanzinstitute abzielt. Auch für die Portale kleinerer Banken haben die Cyberkriminellen täuschend echte Duplikate erstellt.

Trend Micro weist ebenfalls darauf hin, dass derzeit ein praktisch identischer Angriff auf Schweizer Windows-Nutzer abzielt. Damit versuchen die Hacker, den Trojaner Retefe zu verteilen.

Der IT-Sicherheitsdienstleister bringt die neue Attacke auf Mac-Rechner deshalb mit der sogenannten «Operation Emmental» in Verbindung. Dabei handelte es sich um einen gezielten Cyberangriff auf Bankkunden in der Schweiz, Österreich, Schweden und Japan im Jahr 2014. Opfer wurden damals dazu gebracht, schädliche Apps auf ihren Computern und Smartphones zu installieren, damit Hacker die Zwei-Faktor-Authentifizierung umschiffen konnten.