Специалисты компании Trend Micro обнаружили новое вредоносное ПО, ориентированное на пользователей компьютеров Apple. Вредонос, получивший название OSX_DOK, представляет собой модифицированную версию банковского трояна Werdlod, разработанного для систем на базе Windows. Преимущественно OSX_DOK атакует клиентов швейцарских банков.

Как считают исследователи, вредоносная кампания OSX_DOK является частью операции Emmental, о которой впервые стало известно в 2012 году. В рамках Emmental злоумышленники пытались получить полный контроль над банковскими счетами пользователей в Швейцарии, Швеции, Австрии и Японии с помощью различных инструментов и техник, таких как фишинговые атаки, вредоносное ПО и мошеннические DNS-серверы.

Распространение трояна OSX_DOK осуществляется с помощью фишинговых писем, содержащих вредоносные фалы с расширениями . zip и . docx. Файл . zip представляет собой фальшивое приложение для macOS, а второй файл содержит троян Werdlod и используется для атак на системы под управлением Windows. Обе программы работают как банковские трояны и обладают схожим функционалом.

Оказавшись на системе, вредоносная программа

удаляет стандартное приложение App Store и запускает поддельное окно обновления macOS, запрашивающее пароль администратора. Получив учетные данные, вредонос инициирует загрузку других приложений и генерирует фальшивые сертификаты для атаки «человек посередине».

Вредонос автоматически закрывает браузеры, чтобы установить сертификат. Каждый раз, когда пользователь пытается подключиться к сайту швейцарского банка, домен которого содержится во вшитом в код трояна списке, на экране отображается фишинговая страница для кражи учетных данных.