Целью вредоноса OSX_DOK преимущественно являются клиенты швейцарских банков.
Специалисты компании Trend Micro обнаружили новое вредоносное ПО, ориентированное на пользователей компьютеров Apple. Вредонос, получивший название OSX_DOK, представляет собой модифицированную версию банковского трояна Werdlod, разработанного для систем на базе Windows. Преимущественно OSX_DOK атакует клиентов швейцарских банков.
Как считают исследователи, вредоносная кампания OSX_DOK является частью операции Emmental, о которой впервые стало известно в 2012 году. В рамках Emmental злоумышленники пытались получить полный контроль над банковскими счетами пользователей в Швейцарии, Швеции, Австрии и Японии с помощью различных инструментов и техник, таких как фишинговые атаки, вредоносное ПО и мошеннические DNS-серверы.
Распространение трояна OSX_DOK осуществляется с помощью фишинговых писем, содержащих вредоносные фалы с расширениями .zip и .docx. Файл .zip представляет собой фальшивое приложение для macOS, а второй файл содержит троян Werdlod и используется для атак на системы под управлением Windows. Обе программы работают как банковские трояны и обладают схожим функционалом.
Оказавшись на системе, вредоносная программа удаляет стандартное приложение App Store и запускает поддельное окно обновления macOS, запрашивающее пароль администратора. Получив учетные данные, вредонос инициирует загрузку других приложений и генерирует фальшивые сертификаты для атаки «человек посередине».
Вредонос автоматически закрывает браузеры, чтобы установить сертификат. Каждый раз, когда пользователь пытается подключиться к сайту швейцарского банка, домен которого содержится во вшитом в код трояна списке, на экране отображается фишинговая страница для кражи учетных данных.
