http://www.esetnod32.ru/company/press/center/win32-emotet-kradet-loginy-i-par...
После загрузки Win32/Emotet устанавливает соединение с удаленным сервером, фиксирует сетевой трафик и перехватывает логины и пароли онлайн-банкинга жертвы. Троян способен подключаться к восьми сетевым API-интерфейсам, открывая злоумышленникам доступ к данным, которые передаются через защищенное HTTPS-соединение.
ну допустим вирус умеет снифать трафик, но как он разбирает https? Там ведь проще в браузер подгрузить библиотеку чем ломать TLS.
ps. В линуксе тоже есть HTTPS, и можно пропатчить до вирусов.