OSX_DOK惡意軟體(趨勢科技偵測為OSX_DOK.C)具備像濫用憑證和躲避防毒軟體等進階技術來感染Apple OSX作業系統電腦。這個惡意軟體專門針對瑞士銀行的用戶,利用網路釣魚(Phishing)攻擊來植入惡意軟體,最終利用中間人(MITM)攻擊來劫持使用者的網路流量。OSX_DOK.C就好像是另一個版本的WERDLOD(趨勢科技偵測為TROJ_WERDLOD,被用在Emmental行動的惡意軟體)。我們在本文章中會進一步探討這有趣的關聯。
《延伸閱讀》當你試著想要解鎖手機時,有人已經清空了你的銀行帳戶:再次檢視Emmental犯罪行動
網路釣魚信偽裝成蘇黎世警官,聲稱無法成功連絡到收件者
抵達方式和感染流程
圖1:OSX_DOK.C對Mac系統的感染流程
OSX_DOK.C會透過包含特定.zip或.docx檔案的網路釣魚郵件到達。趨勢科技所分析的樣本偽裝成蘇黎世警官,聲稱無法成功連絡到收件者。該郵件還夾帶兩個聲稱關於詢問使用者問題的檔案:一個是.zip檔案,這是個假 OSX應用程式,而另一個則是用 WERDLOD 針對Windows作業系統的.docx檔案。這兩個樣本都是銀行木馬程式,有著類似的功能。
郵件附件檔所用的檔案還包括以下例子:
- Zahlungsinformationen 01.06.2017.zip
- Zahlungsinformationen digitec.zip
- zip
- Dokument 09.06.2017.zip
- Dokument 09.06.2017.docx
- docx
- 2017.docx
刪除系統上的 App Store,出現全螢幕的假 OSX更新畫面
一旦點開網路釣魚郵件內的 docx 檔案,就會跳出一個警告視窗:
圖2:OSX上的警告視窗
之後會刪除系統上的App Store,接著出現全螢幕的假OSX更新畫面。
圖3:假 OSX更新畫面