Эксперты CloudSEK выявили новую вредоносную кампанию, использующую троян MacSync, нацеленную на пользователей macOS. MacSync маскируется под установщик облачного хранилища и распространяется через сайты, которые очень похожи на настоящие порталы для загрузки.
Согласно данным CloudSEK, схема, основанная на социальной инженерии, выглядит следующим образом: пользователя перенаправляют с поддельной страницы, имитирующей форму входа в аккаунт Microsoft, на предполагаемый официальный сайт macOS-приложения. Там жертве показывают сообщение об ошибке и предлагают «продвинутый метод установки» через Terminal.
Далее всё происходит по принципу ClickFix. Пользователю предлагают скопировать и вставить одну команду, необходимую для завершения установки или исправления проблемы. Это действие не вызывало у пользователей никаких подозрений, однако на самом деле оно загружало и запускало удалённый вредоносный скрипт. Поскольку действие выполнялось добровольно, macOS не распознавала в этом ничего подозрительного, и Gatekeeper, проверка подписи и другие меры защиты оставались бездействующими.
После установки MacSync тайно заменяет популярные Electron-приложения для работы с аппаратными криптокошельками, включая Ledger Live и Trezor Suite. Модифицированные версии выглядят легитимными, но в критический момент начинают демонстрировать пользователю «служебные» экраны с сообщениями об ошибках и предложением о восстановлении.
Такой сценарий может сработать даже спустя несколько недель после заражения. Пользователю предлагают ввести ПИН-код и сид-фразу якобы для решения проблемы, и на этом этапе контроль над криптоактивами полностью переходит к злоумышленникам.
Вредоносный MacSync способен собирать данные из браузеров, информацию о криптокошельках, содержимое Keychain и файлы. Это делает его угрожающим не только для частных пользователей, но и для корпоративных устройств, где macOS всё чаще используется в качестве рабочей платформы.
Ранее исследователи в области кибербезопасности обнаружили новую вредоносную кампанию под названием JS#SMUGGLER, в ходе которой злоумышленники используют взломанные легитимные веб-сайты для распространения опасного трояна NetSupport RAT. Атака основывается на эксплуатации уязвимостей в доверенных интернет-ресурсах, которые становятся невидимыми для пользователей платформы, позволяя скрытую загрузку вредоносного ПО.
Мошенники атакуют дипфейками из 2016 года
