Check Point alerta sobre el malware OSX/Dok, que afecta a usuarios de Mac residentes en Europa. OSX/Dok consigue hacerse con el control del tráfico web y roba credenciales bancarias. Según la multinacional de ciberseguridad, es una variante del troyano bancario Retefe, que lleva varios años atacando a Windows.
OSX/Dok se distribuye a través de una campaña de phishing. Esto no sería sorprendente, de no ser porque se dirige de manera específica a usuarios de macOS que, por lo general, creen falsamente que su equipo está a prueba de ciberamenazas. La víctima recibe un email con un archivo zip adjunto, que instala el malware yhace que el sistema operativo desactive las actualizaciones de seguridad del ordenador. Después, lanza un ataque de Man-in-the-Middle, permitiendo un acceso completo a todas las comunicaciones de la víctima, incluso aunque esté utilizando un cifrado SSL. Además, los autores del malware utilizan certificados legítimos de desarrollador de Apple para hacer más difícil la detección.
Este malware geolocaliza la dirección IP de la víctima y, según el país europeo en el que esté, redirige su tráfico utilizando un proxy. Cada vez que el usuario intenta entrar en el portal de una entidad bancaria, le envía a una página falsa, que le pide sus claves de identificación.
Check Point ofrece consejos para identificar estas webs fraudulentas:
- Comprobar el año del copyright. El centro de Comando y Control de OSX/Dok utiliza capturas antiguas de los portales de las principales entidades bancarias europeas. En su versión del banco “Credit Suisse” aparece el año 2013 como si fuera el actual.
- Falta el certificado SSL original. Es difícil de observar a simple vista, ya que el malware instala un certificado falso, pero que puede identificarse si se compara con el verdadero. En lugar de indicar el nombre de la entidad bancaria, solamente muestra la palabra “secure”.
- Desaparece el token de autentificación de la url. La autenticación basada en token asegura que cada petición a un servidor se acompaña de un token firmado que el servidor verifica y sólo entonces responde. En este caso no hay token puesto que la comunicación es con el servidor C&C y no con el real.
La web fraudulenta también puede solicitar instalar una app móvil a través de un código QR o un SMS por motivos de seguridad. Actualmente, el mensaje de texto descarga la aplicación de mensajería Signal, aunque en cualquier momento los ciberdelincuentes pueden modificar el link para insertar malware en el smartphone del afectado.
Después de publicar el informe anterior sobre OSX/Dok se pudo comprobar que las similitudes entre OSX/Dok y “Retefe”, que es un troyano bancario que se conoce desde hace algunos años, principalmente activo en plataformas Windows, concluían que, de hecho, OSX/Dok es el mismo malware “portado” desde Windows.
Check Point prevé que en el futuro próximo los cibercriminales seguirán adaptando a macOS más amenazas que hayan aparecido originalmente en Windows. Las razones principales son el menor número de productos de seguridad de calidad para los ordenadores de Apple, y su creciente popularidad. Según Gartner, los Mac han más que triplicado su cuota de mercado total en menos de una década.
Para evitar una infección por OSX/Dok, Check Point recomienda a los usuarios no abrir nunca los emails o archivos adjuntos enviados por desconocidos.