Атака на macOS: платформа MioLab превратила компьютеры Apple в лакомую цель для киберпреступников

MioLab активно рекламируется на крупных русскоязычных подпольных форумах и представляет собой законченный коммерческий продукт. Его отличительная черта - сфокусированность на краже криптовалют. Платформа предлагает эксклюзивный модуль, специально разработанный для компрометации аппаратных кошельков, таких как Ledger и Trezor, с целью перехвата сид-фраз восстановления. Комбинируя компактный, труднообнаруживаемый вредоносный код с удобной веб-панелью управления, MioLab предоставляет атакующим инструменты для сбора конфиденциальных данных браузеров, опустошения криптокошельков и обхода встроенных механизмов безопасности macOS через кастомизированные фишинговые приманки.

Технический арсенал и эволюция угрозы

Возможности MioLab сконцентрированы вокруг трёх ключевых направлений: выполнение полезной нагрузки, хищение данных и управление инфраструктурой. Полезная нагрузка, написанная на языке C, имеет размер около 100 КБ, что помогает уклоняться от сигнатурного антивирусного обнаружения. Она поддерживает как устаревшие процессоры Intel (x86-64), так и современные Apple Silicon (ARM64), работая на версиях macOS от Sierra до Tahoe. Для социальной инженерии злоумышленники могут генерировать сборки в формате DMG или Unix-исполняемого файла с помощью встроенного конструктора, который включает функцию живого предпросмотра. Это позволяет визуально проектировать окна установки, подделывая иконки приложений и фоновые изображения, чтобы обмануть пользователя.

Кража данных осуществляется комплексно. MioLab извлекает куки, пароли, историю посещений и токены Google из всех популярных браузеров на базе Chromium и Gecko, включая, по последним заявлениям разработчиков, и нативный Safari, что может указывать на обход механизмов защиты приватности TCC. Особое внимание уделяется криптовалютам: сборщик ищет данные более чем 200 криптокошельков в виде расширений браузеров и нацеливается на файлы более 50 десктопных кошельков. Премиальный модуль для аппаратных кошельков был недавно полностью перестроен и описан как "универсальный". Кроме того, MioLab атакует популярные менеджеры паролей, расшифровывает системную связку ключей (Keychain) и собирает заметки из Apple Notes, автоматически расшифровывая их на стороне жертвы перед отправкой злоумышленнику.

Управление атаками происходит через удобную веб-панель с расширенным дашбордом (интерфейсом управления). Она включает инструмент сортировки "логов" (собранных данных) с фильтрацией по стране, типу украденных активов и другим параметрам. Отдельная функция "восстановления" Google-сессий через украденные куки позволяет хакерам захватывать аккаунты, минуя пароль и двухфакторную аутентификацию. Для распределения вредоносного кода используется утилита ClickFix, автоматически генерирующая команды для развёртывания фишинговых страниц. Платформа также поддерживает интеграцию с Telegram-ботами для оповещений о новых жертвах и предоставляет полноценный API для автоматизации работы крупных киберпреступных групп, что превращает её в подобие корпоративного SaaS-решения.

Анализ последних обновлений и тактик распространения

Мониторинг изменений в MioLab показывает высокую скорость разработки. Платформа быстро эволюционирует от базового сборщика данных в зрелую MaaS-систему. Для улучшения скрытности разработчики внедрили выделенные прокси-серверы для изоляции сетевого трафика разных сборок, что затрудняет блокировку всей инфраструктуры. Они активно поддерживают статус "полностью необнаруживаемого" (Fully Undetectable, FUD), регулярно очищая детекты антивирусов и инструктируя клиентов пересобирать полезные нагрузки.

Незадолго до публикации этого материала исследователь Марсело Риверо обнаружил активную кампанию зловредной рекламы (malvertising), распространяющую MioLab. Кампания нацелена на разработчиков, используя клон документации по командному инструменту Claude Code от Anthropic. Для пользователей macOS сайт предлагает инструкции, приводящие к выполнению вредоносной нагрузки через цепочку ClickFix, что идеально соответствует профилю целевой аудитории - технически подкованным специалистам, ожидающим работы с терминалом.

Динамический анализ исполнения образца MioLab раскрывает агрессивный и структурированный процесс сбора данных. После запуска вредоносное ПО создаёт временную директорию, принудительно завершает процессы Терминала, а затем с помощью кастомных диалоговых окон macOS пытается выманить у пользователя пароль администратора. После проверки учётных данных начинается фаза сбора: кража данных из браузеров, криптокошельков, мессенджеров (Telegram, Discord) и файловой системы. Всё собранное архивируется и отправляется на управляющий сервер (Command-and-Control, C2) с помощью команды "curl". В конце жертве показывается фальшивое сообщение об ошибке, чтобы создать видимость сбоя установки.

Инфраструктура MioLab тесно переплетена с другими киберпреступными операциями. Исследование показало, что домены, используемые для админ-панели, также задействованы в фишинговых кампаниях, нацеленных на кражу криптовалют через поддельные страницы "раздачи токенов" (airdrop). Хостинг для этих ресурсов предоставляется компанией FEMO IT Solutions Ltd., известной как провайдер "пуленепробиваемого хостинга" (bulletproof hosting), который игнорирует жалобы правоохранительных органов.

Растущая изощрённость таких платформ, как MioLab, сигнализирует о новой эре угроз для macOS. Атаки перестали быть единичными и превратились в отлаженный бизнес, ориентированный на высокодоходные цели. Организациям и пользователям Apple необходимо осознать, что миф о неуязвимости их платформы окончательно развеян, и перейти к активным мерам защиты, включающим не только технические средства, но и постоянное обучение цифровой гигиене.

IPv4

• 196.251.107.97

Domains

• adjustservices.com
• approvalmechanism.com
• approvecommand.com
• approve-me.com
• automatic-approval.com
• blindsettlement.com
• bothnationaldomainzones.com
• bucketowlsummary.com
• captainnose.com
• carrotvegetable.com
• certainstoragefeel.com
• charitydome.com
• chopaquarium.com
• command-confirm.com
• command-distributor.com
• commerceapprove.com
• confirm-protocol.com
• cucumbernonsense.com
• decline.top
• displacehaircut.com
• establishtransmission.com
• flexiblefinger.com
• formalpyramid.com
• frontbottle.com
• frozenlilytaxi.com
• horsemanufacturer.com
• importantsquash.com
• insightvariety.com
• itemvalidation.com
• macosdev.world
• marinemember.com
• memorialapetite.com
• officerelaxation.com
• ovalresponsibility.com
• owqkoqoqoqoqoqqoqoo.info
• peaceofmindzone.com
• registrationprotocol.com
• respectableneedle.com
• revisemodule.com
• rocqwkeorkcowqkrcw.icu
• sculpturecherry.com
• signaturemodule.com
• singleenvironment.com
• standardpoetry.com
• stringmotivation.com
• structurecarry.com
• sunrisefootball.com
• talentedfrog.com
• technicalposition.com
• terminalconfirm.com
• terminalsignature.com
• trackperformer.com
• usefuldrum.com
• weetspace.com
• welldrawer.com
• wheelchairmoments.com
• wtkqwctkow.icu
• zynce.org

URLs

• http://196.251.107.171
• https://socifiapp.com
• mioisiskwowiwjowuwjwolab.club/login

MD5

• 2422f04227fa86a149aed35d82f9a7fc
• 581f43161c591c43a3beb6d8e65b091a
• 5c1cd6b18d9cdb7a682560518f0438cc
• 620e70d3246fcb75037a005684407e42
• C8678739a0301fc2a46bbc7ed8629386
• eeaba83f9e5a3922b02ba178c4ae445e