Новий тип шкідливого програмного забезпечення для Mac маскується під програми CleanMyMac або програму для зламу Photoshop і викрадає дані з браузерів та викрадає криптовалютні гаманці.
Ось як це працює та як захиститися.
За даними лабораторії MacPaw Moonlock Lab, шкідливе програмне забезпечення часто видає себе за легітимні додатки. Після встановлення він може використовувати AppleScript, щоб обманом змусити користувачів розкрити свої паролі, викрасти файли cookie з таких браузерів, як Chrome і Safari, і самознищитися, якщо виявить, що працює на віртуальній машині.
Скрипт починає з отримання поточного імені користувача з системи разом з іншими важливими системними шляхами для подальшого використання. Потім він створює тимчасову папку для зберігання викрадених даних перед відправкою.
Веб-браузери, такі як Chrome і Safari, також можуть бути використані для збору конфіденційної інформації користувача, такої як історія відвідувань, файли cookie та збережені паролі. Ще однією функцією скрипта є можливість знаходити популярні криптовалютні гаманці та отримувати до них доступ. Він може викрадати файли гаманців, потенційно надаючи зловмиснику доступ до криптовалютних активів жертви.
Серед гаманців, які він атакує, Electrum, Coinomi, Exodus, Atomic Wallet, Wasabi Wallet, Ledger Live, Feather (Monero), Bitcoin Core, Litecoin Core, Dash Core, Electrum-LTC, Electron Cash, Guarda Wallet, Dogecoin Core, Binance і TonKeeper.
Потім скрипт копіює файл «login.keychain-db», який містить дані брелоків macOS, такі як паролі та конфіденційні облікові дані. Він також бере дані з Apple Notes, копіюючи «NoteStore.sqlite» і пов’язані з ним файли.
Це шкідливе програмне забезпечення є різновидом «Atomic Stealer». Вперше виявлений у 2023 році, Atomic Stealer еволюціонував і став більш складним для виявлення.
Він ховається в нелегальних завантаженнях програмного забезпечення, потрапляє в macOS через помилку користувача і залишається прихованим за допомогою скриптів, викрадаючи конфіденційні дані.
Як користувачі Mac можуть захиститися від Atomic Stealer
З огляду на розвиток цих загроз, користувачі Mac повинні вживати активних заходів, щоб залишатися в безпеці. Завжди завантажуйте програмне забезпечення з офіційного веб-сайту або Mac App Store та уникайте сторонніх сайтів, які можуть пропонувати зламані або піратські версії.
Перевірте URL-адресу на наявність будь-яких ознак порушень, таких як помилки або незвичайні символи, і переконайтеся, що сайт є легальним, перш ніж щось завантажувати. Регулярне оновлення macOS і всіх встановлених додатків може захистити від відомих вразливостей.
Gatekeeper – вбудована функція macOS – гарантує, що можна встановлювати лише підписані та перевірені програми. Нарешті, не переходьте за підозрілими посиланнями та не завантажуйте вкладення з невідомих джерел, оскільки кіберзлочинці часто використовують тактику фішингу для поширення шкідливого програмного забезпечення.
