Эксперты Trend Micro выявили новую вредоносную программу OSX_DOK, целью которой являются пользователи компьютеров Apple.
OSX_DOK – это усовершенствованная версия банковской троянской программы Werdlod, разработанной для Windows. OSX_DOK атакует, прежде всего, клиентов швейцарских банков.
По мнению специалистов, вредоносная кампания OSX_DOK осуществляется в рамках операции Emmental, информация о которой впервые появилась в 2012 году. Целью Emmental является захват полного контроля над счетами в австрийских, швейцарских, шведских и японских банках посредством разных инструментов и методик.
Троянская программа OSX_DOK распространяется посредством фишинговых писем с вложенными вредоносными zip-архивами и docx-файлами. В zip-архиве содержится поддельное приложение для macOS, а во второй файл внедрена троянская программа Werdlod для атак на компьютеры с Windows. Обе программы работают по принципу банковского троянского ПО и имеют схожий функционал.
При проникновении в систему вредоносная программа удаляет стандартное приложение App Store и загружает фальшивое окно обновления macOS, которое запрашивает пароль администратора. После получения учетной информации вредоносная программа запускает загрузку других приложений и создает поддельные сертификаты для атаки типа man-in-the-middle.
Для установки сертификата вредоносная программа автоматически закрывает браузеры. При попытке пользователя подключиться к сайту швейцарского банка, адрес которого находится в перечне, вшитом в код OSX_DOK, на экране появляется фишинговая веб-страница для хищения учетной информации.
