Новый банковский троян нацелился на пользователей Mac

18 Июль 2017

Пользователи компьютеров Mac оказались под угрозой. Их атакует новый банковский троян, который может получить доступ к личным банковским счетам и снять все деньги с них. Примечательно, что жертвами такого вируса становятся преимущественно пользователи швейцарских банков, а как мы знаем, среди них очень много весьма состоятельных людей.

Это значит, что злоумышленники хорошо продумали свою атаку и выбрали для нее наиболее прибыльную, по их мнению, категорию людей.

Новый вирус загружается только на компьютеры производства компании Apple. Троян называется OSX_DOK. Он создавался на основе уже давно известного зловреда Werdlod, который действовал таким же образом, но только поражал компьютеры, работающие под управлением операционной системы Windows.

После подробного анализа новой вредоносной программы эксперты по информационной безопасности пришли к выводу, что OSX_DOK может распространяться в рамках операции Emmental. Впервые о ней заговорили еще 5 лет назад. Тогда особенно активизировались разные фишинговые атаки, которые были направлены на клиентов швейцарских, шведских, австрийских и японских банков. Кроме фишинговых атак использовались еще и другие методы заражения персональных компьютеров жертв, например, мошеннические DNS-серверы или разного рода вредоносное программное обеспечение.

Для распространения нового трояна мошенники выбрали довольно простой и знакомый некоторым пользователям способ — рассылку фишинговых писем. При их открытии получатель обнаруживает прикрепленный вредоносный файл, который на первый взгляд выглядит как обычный архив и имеет расширение .zip или .docx. В этом архиве содержится всего 2 файла. Первый представляет собой поддельное приложение для компьютеров, работающих на операционной системе macOS. Второй файл является троянской программой Werdlod, которая поражает компьютеры под управлением Windows. При скачивании архива и его распаковке вирус проникает на компьютер и начинает действовать. Оба трояна обладают очень похожим функционалом и действуют почти одинаково.

Как только троян окажется на компьютере жертвы, для его дальнейшей деятельности и получения доступа к банковским счетам ему для начала потребуется получить права администратора. Для этого после проникновения в систему троян избавляется от стандартного приложения App Store, а вместо него запускает фальшивое окно обновлений для операционной системы, чтобы пользователь ничего не подозревая ввел пароль администратора. Как только зловред получит этот пароль, он приступит к загрузке других сторонних приложений и генерированию сертификатов для осуществления атаки типа «человек посередине». Чтобы фальшивые сертификаты были приняты, троян автоматически выполняет перезагрузку браузеров. Впоследствии каждый раз, когда пользователь будет совершать попытку открыть сайт конкретного швейцарского банка, в браузере будет показываться фишинговая страница, которую пользователь сам не отличит от настоящей. В загруженных сертификатах имеется список банков, на которые у вируса есть поддельные страницы. Поэтому если вводимый адрес найдется в этом списке, то пользователь попадется на фишинговую атаку. Если же банка не окажется в списке, то вирус будет бессилен.

Чтобы не попасться на такие уловки, не стоит открывать сомнительные письма, а уж точно загружать файлы из них. А при использовании интернет-банкинга лучше всегда обращать внимание на URL страницы, где вводятся личные данные.


Скопируйте этот код и вставьте его в свой сайт или блог (HTML)
Скопируйте этот код и вставьте его на форум (BBcode)
Кликните, если это возможно
Комментариев нет.