Предупреждение о новом вредоносном ПО
Компания по безопасности блокчейна SlowMist предупредила о новом высокоразрушительном инфостилере для macOS под названием «MacSync Stealer» (v1.1.2). Активная кампания вредоносного ПО нацелена на пользователей Apple с целью опустошения криптовалютных кошельков и эксфильтрации высокочувствительных учетных данных.
Тактики злоумышленников
Злоумышленники используют обманные тактики социальной инженерии, чтобы обойти защиту пользователей. Вредоносное ПО применяет поддельные системные диалоги AppleScript, имитирующие законные запросы пароля macOS, чтобы выудить учетные данные для входа пользователя. Оно тихо эксфильтрует данные в фоновом режиме, как только жертва попадается на удочку.
MacSync Stealer отображает поддельное сообщение об ошибке «не поддерживается» сразу после завершения экстракции данных, чтобы не вызвать подозрений. Этот трюк заставляет казаться, что приложение просто не смогло запуститься.
Цели вредоносного ПО
Кроме пользователей криптовалют, вредоносное ПО нацелено на:
- учетные данные браузера
- системные ключи macOS
- ключи критической инфраструктуры, включая SSH, AWS и учетные данные Kubernetes (K8s)
Другие кампании вредоносного ПО
Это не единичный случай. Команда безопасности Bybit только что обнаружила кампанию вредоносного ПО, нацеленную на пользователей macOS, ищущих Claude Code. Недавно Microsoft Threat Intelligence раскрыла высоко нацеленную кампанию для macOS, организованную «Sapphire Sleet», известной государственной угрозой из Северной Кореи. Sapphire Sleet использует продвинутую социальную инженерию, чтобы выдавать себя за законные обновления программного обеспечения macOS и красть криптовалютные кошельки.
Также стоит упомянуть вредоносное ПО «Infinity Stealer», которое продемонстрировало, как методы атак, ориентированные на Windows, адаптируются для macOS. Оно использует технику «ClickFix», чтобы представить жертвам поддельную страницу CAPTCHA.
Компания по кибербезопасности SOC Prime также идентифицировала «MioLab», который является коммерчески распределяемым инфостилером для macOS, специально созданным для нацеливания на высокоценные жертвы, включая держателей криптовалюты.
