OSX_DOK惡意軟體（趨勢科技偵測為OSX_DOK.C）具備像濫用憑證和躲避防毒軟體等進階技術來感染Apple OSX作業系統電腦。這個惡意軟體專門針對瑞士銀行的用戶，利用網路釣魚（Phishing）攻擊來植入惡意軟體，最終利用中間人（MITM）攻擊來劫持使用者的網路流量。OSX_DOK.C就好像是另一個版本的WERDLOD（趨勢科技偵測為TROJ_WERDLOD，被用在Emmental行動的惡意軟體）。我們在本文章中會進一步探討這有趣的關聯。

 

《延伸閱讀》當你試著想要解鎖手機時，有人已經清空了你的銀行帳戶:再次檢視Emmental犯罪行動

 

網路釣魚信偽裝成蘇黎世警官，聲稱無法成功連絡到收件者

抵達方式和感染流程

圖1：OSX_DOK.C對Mac系統的感染流程

 

OSX_DOK.C會透過包含特定.zip或.docx檔案的網路釣魚郵件到達。趨勢科技所分析的樣本偽裝成蘇黎世警官，聲稱無法成功連絡到收件者。該郵件還夾帶兩個聲稱關於詢問使用者問題的檔案：一個是.zip檔案，這是個假 OSX應用程式，而另一個則是用 WERDLOD 針對Windows作業系統的.docx檔案。這兩個樣本都是銀行木馬程式，有著類似的功能。

郵件附件檔所用的檔案還包括以下例子：

• Zahlungsinformationen 01.06.2017.zip
• Zahlungsinformationen digitec.zip
• zip
• Dokument 09.06.2017.zip
• Dokument 09.06.2017.docx
• docx
• 2017.docx

 

刪除系統上的 App Store，出現全螢幕的假 OSX更新畫面

一旦點開網路釣魚郵件內的 docx 檔案，就會跳出一個警告視窗：

圖2：OSX上的警告視窗

 

之後會刪除系統上的App Store，接著出現全螢幕的假OSX更新畫面。

圖3：假 OSX更新畫面

繼續閱讀