Предупреждают о новом вредоносном ПО для macOS, которое пытается опустошить криптовалютные кошельки
- Пользователи Apple, которые хранят или управляют криптовалютами, сталкиваются с новой угрозой кибербезопасности. Исследователи Jamf Threat Labs, команды по кибербезопасности, обнаружили кампанию, распространяющую поддельную версию приложения с открытым исходным кодом Maccy с целью установки PamStealer, вредоносного ПО, предназначенного для кражи паролей, учетных данных и ключей криптовалютных кошельков.
Согласно отчету компании, злоумышленники используют веб-сайт, имитирующий официальный сайт Maccy, бесплатного менеджера буфера обмена для macOS, чтобы убедить жертв загрузить вредоносный образ диска. При открытии файла он показывает инструкции по его запуску из редактора скриптов Apple, скрывая вредоносный код, который инициирует инфекцию.
Как только вредоносное ПО попадает в систему, оно проверяет пароль для входа пользователя с помощью подключаемых модулей аутентификации (PAM) macOS. Затем оно загружает вторую полезную нагрузку, разработанную с использованием встроенных инструментов операционной системы, что позволяет снизить вероятность обнаружения антивирусными программами.
Вредоносное ПО также генерирует ключ на основе информации об устройстве, такой как архитектура процессора, региональные настройки, раскладка клавиатуры и часовой пояс. С его помощью оно разблокирует зашифрованную конфигурацию, содержащую необходимые инструкции для продолжения атаки.
Если инфекция успешна, вредоносное ПО может украсть пароли, хранящиеся в браузерах, данные из связки ключей macOS, информацию, скопированную в буфер обмена, и учетные данные, связанные с криптовалютными кошельками. Кроме того, оно устанавливает постоянный доступ к компьютеру и отправляет украденные данные на удаленный сервер с помощью зашифрованных коммуникаций.
В рамках атаки программа также отображает ложное окно файлового менеджера, запрашивая полный доступ к диску. Примечательно, что это уведомление может появиться до 40 минут после установки, что затрудняет пользователю связь запроса с первоначальной загрузкой. Если разрешить доступ, вредоносное ПО получает доступ к защищенной информации, включая электронные письма, сообщения и резервные копии Time Machine.
Компания объяснила, что такие кампании в основном зависят от социальной инженерии. По словам Джарона Брэдли, директора Jamf Threat Labs, киберпреступники покупают рекламу на платформах, таких как Google Ads и X, чтобы направить пользователей на поддельные страницы, которые якобы предлагают легитимные приложения. Компания добавила, что недавно обнаружила еще одно спонсируемое объявление на X, которое распространяло вариант вредоносного ПО Atomic Stealer через проверенную учетную запись, увеличивая доверие к обману.
Хотя компания утверждает, что пока не нашла доказательства активного использования PamStealer, она уже уведомила Apple о своих находках. На данный момент компания не сделала публичных комментариев по этому делу.
Исследователи заключают, что эта кампания отражает растущую тенденцию среди киберпреступников: маскировать вредоносное ПО под легитимное программное обеспечение и использовать доверенные платформы для его распространения. В отчете исследовательской компании TRM Labs утверждается, что в 2026 году произошло увеличение числа атак, с общими убытками в 972 миллиона долларов США, как указано в CriptoNoticias.
Для пользователей криптовалют эти угрозы представляют собой значительный риск, поскольку кража учетных данных или ключей кошелька может привести к необратимой потере цифровых средств.
