Эксперты в области кибербезопасности зафиксировали две новые кампании атак на пользователей операционной системы macOS, нацеленные на кражу криптовалюты и конфиденциальных данных. Первая кампания была выявлена специалистами биржи Bybit, которые обнаружили сложное вредоносное ПО, использующее технологии искусственного интеллекта для обхода систем защиты. Вредоносное ПО нацелено на пользователей, которые ищут AI-инструмент «Claude Code». Злоумышленники применяют метод SEO-отравления, чтобы вывести поддельный сайт в топ результатов поисковой системы Google. После перехода на фейковую страницу пользователей перенаправляют на страницу установки поддельного ПО. После скачивания и установки запускается многоэтапная атака: сначала внедряется инфостилер, а затем — бэкдор. Вредоносное ПО закрепляется в системе и предоставляет хакерам удаленный доступ к устройству.
По данным расследования, хакеры получают доступ к криптокошелькам, так как вредоносное ПО способно распознавать более 250 расширений и приложений для работы с криптовалютой. Кроме того, злоумышленники получают доступ к логинам и паролям, сохраненным в браузерах, данным macOS Keychain, а также Telegram-сессиям и профилям VPN. Эксперты отмечают, что атака представляет серьезную угрозу для пользователей, так как позволяет злоумышленникам получить полный контроль над устройством и украсть ценные активы.
Вторая кампания была зафиксирована группой Lazarus, известной своими кибератаками. Вредоносный набор «Mach-O Man» распространяется через мессенджеры, где жертве приходит сообщение с «приглашением на встречу» в Zoom, Teams или Meet. Далее пользователю предлагают «исправить ошибку» и вставить команду в терминал. После выполнения команды устанавливается загрузчик, который подтягивает остальные модули атаки. Вредоносное ПО собирает данные об устройстве, операционной системе, сети, а также установленных браузерах и расширениях. После этого оно закрепляется через LaunchAgent и запускается при каждом входе в систему. Затем запускается инфостилер, который собирает пароли, cookies, сессии браузеров, данные macOS Keychain и другие чувствительные файлы. Все собранные данные агрегируются в отдельную директорию, архивируются и отправляются злоумышленникам через Telegram, маскируясь под обычный трафик.
Эксперты предупреждают, что такие атаки представляют угрозу не только для криптоактивов, но и для корпоративных систем, так как злоумышленники могут получить доступ к логинам и паролям к внутренней инфраструктуре. Пользователям macOS рекомендуется проявлять осторожность при скачивании ПО, особенно из ненадежных источников, и использовать надежные антивирусные решения для защиты своих устройств.
Внимание: обмен криптовалют через проверенный обменник.
