瑞士Operation Emmental黑客行动背后的始作俑者,开始使用Dok Mac OS X 恶意软件 的变种来攻击瑞士银行。在 2014年7月, 趋势科技的恶意软件研究人员发表了一份关于黑客行动 "Operation Emmental"的报告, 该次行动针对瑞士银行账户进行了多方面的攻击, 金融机构实施的两个认证因子都被攻击者绕过。
据专家介绍, Operation Emmental的起源可以追溯到2012年。专家们把这项运动称为 "Operation Emmental", 因为瑞士银行的安全漏洞很多, 就像瑞士Emmental奶酪一样。
黑客使用了一个恶意软件, 它能够拦截用于授权操作的短信令牌, 并更改域名系统设置, 以劫持受害者到伪造银行网站,进行网络钓鱼攻击。
攻击者攻击了不同国家的银行客户账户, 包括瑞士、奥地利、日本和瑞典。调查人员对源代码中发现的适当线索进行分析后,怀疑是幕后黑手是说俄语的人。
苹果恶意软件DOK变种
Operation Emmental背后的黑客继续改进他们的恶意代码。黑客使用的 android 恶意软件和 windows 银行木马经追踪是 Retefe 和 WERDLOD。这次对瑞士银行的攻击的新颖之处在于他们使用了DNK恶意软件的新变种。
恶意代码通过电子邮件传递, 一旦DOK恶意软件感染了 mac os 系统, 它就获得了管理员权限并安装新的根证书。这个根证书允许恶意代码拦截所有受害者的通信, 包括 ssl 加密的通信。
趋势科技的研究人员表示, 该恶意软件变种 OSX_DOK.C的配置为仅当受害者的外部 ip 位于瑞士时才发动劫持流量攻击。 OSX_DOK.C 将用户重定向至假的银行登录页。公布的报告称,
"OSX_DOK 恶意软件展示了一些复杂的功能, 如证书滥用和安全软件规避, 这会影响使用 apple osx 操作系统的机器.”
研究人员还表示,恶意软件的样本OSX_DOK.C 被认为是 Retefe/WERDLOD 的 mac 版本。
"而 WERDLOD 和 OSX_DOK.C使用不同的代码 (因为它们针对不同的操作系统), 它们具有类似的代理设置和脚本格式。"
和 OSX_DOK.C想比, 我们可以看到, 它使用相同的脚本格。
鉴于 WERDLOD 和 OSX_DOK.C 之间的联系, 可以进行合理的假设, 即后者也是Operational Emmental 行动的一部分, "
研究人员还观察到, 最新版本的Dok恶意软件利用Ultimate Packer for Executables(UPX)工具中的一个 bug来包装木马以避免检测。
原文发布时间:2017年7月11日
本文由:securityaffairs发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/dok-malware-operation-emmental