OSX/Dok é a nova ameaça para Mac que rouba dados bancários

De acordo com a empresa de cibersegurança, o trojan distribui-se através de uma campanha de phishing e é dirigida especificamente a utilizadores do sistema operativo macOS. A vítima recebe um email com um ficheiro zip que instala o malware e faz com que o sistema operativo desative as atualizações de segurança do computador.

O segundo passo é o lançamento de um ataque de Man-in-the-Middle que vai permitir ter acesso completo a todas as comunicações da vítima, mesmo que esteja a utilizar uma encriptação SSL. Além disso, os autores do malware utilizam certificados legítimos de programador da Apple para tornar a sua deteção ainda mais difícil.

O OSX/Dok geolocaliza o endereço IP da vítima e redireciona o tráfego utilizando um proxy, para que cada vez que o utilizador tente entrar no portal de uma entidade bancária, seja enviado para uma página falsa. Nesse site fraudulento, são pedidas as credenciais de identificação, que assim são roubadas pelos cibercriminosos.

Mas a Check Point detetou algumas pistas que podem ajudar os utilizadores a perceber que estão em sites falsos, como o ano do copyright errado, a falta o certificado SSL original, que mostra a indicação secure e não o nome da entidade bancária, e o desaparecimento do token de autentificação do url. Este último não existe porque a comunicação é feita com o servidor C&C e não com o real.

O website fraudulento também pode pedir para instalar uma app móvel através de um código QR ou de um SMS. Atualmente, a mensagem de texto descarrega a aplicação de mensagens Signal, embora em qualquer momento os cibercriminosos possam modificar o link para inserir malware no smartphone da vítima.

Os especialistas da empresa prevêm que no futuro surjam cada vez mais ataques direcionados a utilizadores macOS, dado a sua crescente popularidade e o facto de existirem menos produtos de segurança de qualidade para o SO da Apple.