Криптоджекер NovaStealer атакует macOS через подмену кошельков

Атака начинается с выполнения скрипта mdriversinstall.sh, который загружается с компрометированного домена ovalresponsibility[.]com. Этот скрипт создает скрытую директорию .mdrivers в домашней папке пользователя и развертывает модульную архитектуру управления вредоносными компонентами. Интересно, что для обеспечения постоянства используется механизм LaunchAgents с идентификатором application.com.artificialintelligence, что может вводить пользователей в заблуждение.

Оркестратор mdriversmngr.sh периодически обращается на сервер управления для получения обновленных скриптов в base64-кодировке. Каждый модуль запускается в отдельной сессии screen с флагами -dmS, что обеспечивает фоновое выполнение даже после выхода пользователя из системы. Такой подход демонстрирует высокий уровень изощренности злоумышленников.

Модуль mdriversfiles.sh специализируется на эксфильтрации файлов криптокошельков, включая Exodus (passphrase.json, seed.seco) и Ledger Live (app.json). Данные передаются на сервер злоумышленников с интервалом в 20 минут, что снижает вероятность обнаружения.

Особого внимания заслуживает модуль mdriversswaps.sh, который реализует технику подмены приложений. Он определяет установленные копии Ledger Live.app и Trezor Suite.app, удаляет их оригинальные версии и заменяет на фишинговые приложения из архивов, загружаемых с контролируемых злоумышленниками доменов. Для маскировки вредоносная программа модифицирует записи в Dock через прямое редактирование файла com.apple.dock.plist с помощью утилиты PlistBuddy.

Фейковые приложения представляют собой неподписанные исполняемые файлы, написанные на Swift и использующие WebKit для отображения фишинговых страниц. Анализ показал, что оба приложения загружают контент с различных доменов, но используют одинаковую логику для сбора сид-фраз. Веб-страницы содержат сложные JavaScript-скрипты с автоматической проверкой корректности вводимых мнемонических фраз по словарям BIP-39 и SLIP-39.

Техника сбора данных реализована крайне изощренно: скрипты отправляют вводимые пользователем данные на серверы /seed и /seed2 с задержкой 200-400 миллисекунд, что позволяет перехватывать фразы по мере их ввода без необходимости окончательной отправки формы. Дополнительно отслеживается поведение пользователей через функцию initOnlineActivityTracker, которая регистрирует все действия каждые 10 секунд.

Эксперты отмечают, что хотя NovaStealer оставляет множество артефактов на диске, его модульная архитектура и использование легитимных системных утилит затрудняют обнаружение. Сочетание кражи данных с продвинутыми фишинговыми техниками делает эту угрозу особенно опасной для пользователей криптовалютных кошельков на платформе macOS. Рекомендуется устанавливать приложения только из официальных источников и использовать антивирусные решения с актуальными сигнатурами.

Domains

• captainnose.com
• horsemanufacturer.com
• ovalresponsibility.com
• sunrisefootball.com
• wheelchairmoments.com

SHA256

• 0f545ef0804f837ee172bdbd37184a48915cac5e8f6cbf5aa310160d2cff5c37
• 470d0df78818cab01970927fa7b076d723530efa4d8bacc580e95e24c2724cd1
• 480e8e46bf171c2ca2e7243386f793d205bc077e0eb9558d64d52ba3f18b96ab
• 8e655bff39e42f6a6f694f481ed476319c54f0595ad33392fc2ff7243f2f2843
• a963b903353ff7027c95e19edb4cb89aa1680ce3d325aae53f78a437056ae8b7
• b21c9c5e0a67f7ce3a031d0a6d08926e840af180eb616bee2e54d9c49b2c3da8
• f3a7ce69a05da9b1faa6323f1ff7c5366d9a155212e391d13faaf84d4f23e20f