Владельцев компьютеров Apple снова взяли в оборот операторы инфостилеров. Специалисты Jamf Threat Labs в отчёте, опубликованном в пятницу, описали сразу несколько кампаний, в которых вредоносная реклама и поддельные сайты используются для доставки на Mac программ-похитителей данных, включая известный Atomic Stealer.
Фальшивый Arc Browser в поисковой выдаче
Первая схема бьёт по пользователям, которые ищут в Google браузер Arc. Мошенническая реклама подсовывает им ссылку на сайт-двойник airci.net. Особенность этой площадки в том, что напрямую она недоступна — при прямом переходе выдаётся ошибка. Открыть страницу можно только через сгенерированную спонсорскую ссылку, и исследователи Jaron Bradley, Ferdous Saljooki и Maggie Zirnhelt считают, что так злоумышленники пытаются уйти от обнаружения защитными системами.
Скачанный с поддельного сайта образ диска ArcSetup.dmg устанавливает Atomic Stealer — вредонос, который выводит на экран фальшивое системное окно с запросом пароля пользователя, а затем использует его для кражи конфиденциальных данных.
Сервис для видеозвонков meethub.gg
Вторая обнаруженная схема эксплуатирует сайт meethub.gg, который выдаёт себя за бесплатный сервис планирования групповых встреч. На деле он устанавливает другой похититель, способный вытаскивать данные из связки ключей macOS, сохранённые в браузерах учётные данные и информацию из криптовалютных кошельков. По наблюдениям Jamf, этот вредонос пересекается с семейством Realst, написанным на Rust, и, как и Atomic Stealer, запрашивает пароль от учётной записи macOS через вызов AppleScript.
Атаки с использованием этого вредоноса заходят через социальную инженерию: жертвам предлагают обсудить трудоустройство или взять у них интервью для подкаста, а затем просят скачать с meethub.gg приложение для подключения к видеоконференции. «Такие атаки часто нацелены на людей из криптоиндустрии, поскольку успешная кампания может принести злоумышленникам крупный куш, — отмечают исследователи. — Специалистам отрасли стоит понимать, что публично найти информацию об их причастности к криптоактивам зачастую совсем не сложно».
DMG-файлы с полезной нагрузкой с российского IP
Ещё одну кампанию описала Moonlock Lab — подразделение кибербезопасности компании MacPaw. Вредоносные файлы образов дисков, в частности App_v1.0.4.dmg, устанавливают стилер, предназначенный для извлечения учётных данных и другой информации из различных приложений. Работает он через обфусцированный AppleScript и bash-payload, который загружается с российского IP-адреса; первый из скриптов запускает уже знакомый обманный запрос системного пароля.
«Маскируясь под безобидный DMG-файл, вредонос с помощью фишингового изображения убеждает пользователя выполнить установку и обойти защитный механизм Gatekeeper в macOS», — рассказал исследователь Mykhailo Hrebeniuk.
Тренд не ограничивается macOS
Эксперты подчёркивают, что среда macOS всё активнее становится мишенью для инфостилеров, причём часть образцов обладает продвинутыми техниками противодействия анализу — вплоть до кнопки самоуничтожения при обнаружении виртуальной машины.
Параллельно фиксируются похожие кампании и против пользователей Windows: вредоносная реклама распространяет загрузчик FakeBat (он же EugenLoader) и другие похитители данных, например Rhadamanthys, через Go-based загрузчик и сайты-приманки, маскирующиеся под популярное ПО вроде Notion и PuTTY.
Источник: The Hacker News.