Мошенники обманом заставляют пользователей macOS вставлять вредоносные команды в Терминал для кражи криптовалюты и троянизации кошельков

Цепочка заражения: от фишинга до скрытого исполнения

Атака начинается с фишинговой страницы, на которую пользователи попадают через цепочку перенаправлений, например, с поддельного сайта Microsoft. Страница убедительно имитирует официальный портал загрузки и содержит инструкцию скопировать и вставить одну команду в Терминал для «установки». Команда, содержащая закодированный URL, загружает и немедленно исполняет сценарий второй стадии.

Этот сценарий, написанный на Zsh, действует как загрузчик. Его ключевая задача - демонизировать процесс, то есть запустить его в фоновом режиме, отсоединив от сессии терминала. После этого он связывается с командным сервером злоумышленников (C2) по заранее заданному домену (например, jmpbowl[.]xyz), используя уникальный токен для идентификации жертвы, и загружает основную полезную нагрузку - скрипт на AppleScript, который исполняется прямо в памяти, не оставляя файлов на диске.

Кража данных и фишинг пароля системы

Основной скрипт AppleScript выполняет агрессивный сбор конфиденциальной информации. Первым делом он пытается получить пароль учетной записи macOS, который необходим для офлайн-дешифровки украденных данных. Для этого зловред многократно показывает пользователю поддельное диалоговое окно, стилизованное под «Системные настройки», с просьбой ввести пароль. Многие пользователи, чтобы избавиться от навязчивого окна, в конечном итоге вводят свои учетные данные.

После успешного фишинга пароля скрипт приступает к систематической краже данных. Он копирует профили популярных браузеров на основе Chromium (Chrome, Brave, Edge, Opera и другие), где хранятся сохраненные логины, cookies и история. Отдельное внимание уделяется расширениям для криптокошельков, таким как MetaMask и Phantom. Специальный список идентификаторов позволяет скрипту находить и копировать локальные хранилища этих расширений, где часто содержатся сид-фразы и приватные ключи.

Кроме того, зловред ищет и архивирует данные настольных криптокошельков (Exodus, Electrum, Atomic), директории с SSH-ключами, облачными учетными данными (AWS), сессиями Telegram и базой данных приложения «Заметки». Весь собранный «улов» упаковывается в архив и загружается на сервер злоумышленников.

Долгосрочная угроза: троянизация приложений для аппаратных кошельков

Наиболее опасной частью атаки является механизм условного троянирования. Если на зараженном компьютере обнаруживаются приложения для управления аппаратными кошельками Ledger или Trezor, MacSync внедряет в них вредоносный код для долгосрочной персистентности (устойчивости) и фишинга.

Для приложения Ledger Wallet используется метод частичной замены. Зловред скачивает архив, содержащий только модифицированные ключевые файлы - основной пакет кода (app.asar) и файл метаданных (Info.plist). Он заменяет именно эти компоненты в оригинальном приложении, сохраняя его внешний вид и часть функциональности. Приложение Trezor Suite заменяется полностью на вредоносную сборку.

Фишинговый интерфейс внутри троянизированных приложений

Модифицированные приложения выглядят и работают как обычные, пока не срабатывает определенный триггер. Затем они показывают пользователю многошаговый фишинговый «мастер восстановления», идеально имитирующий официальный интерфейс. Сначала появляется сообщение об ошибке с заверениями, что средства в безопасности. Затем пользователя просят ввести PIN-код от аппаратного кошелька, а на последнем этапе - полную сид-фразу (восстановительную фразу) из 24 слов.

Введенные данные тайно пересылаются злоумышленникам. Получив сид-фразу, атакующие получают полный контроль над криптоактивами жертвы, даже если они хранятся на аппаратном кошельке. Это превращает единичный инцидент кражи данных в постоянную угрозу, которая может реализоваться спустя недели или месяцы после заражения.

Инфраструктура и защита

Кампания использует как минимум восемь ротирующихся C2-доменов с единым шаблоном именования. На основном фишинговом домене обнаружены несколько параллельных путей (/v1, /v2, /v3), что указывает на активное тестирование и развитие атаки.

Эксперты подчеркивают, что лучшей защитой от подобных угроз остается осторожность и соблюдение базовых правил кибергигиены. Ни при каких обстоятельствах не следует копировать и выполнять в Терминале команды, полученные из непроверенных источников, даже если они выглядят безобидно или имитируют официальные инструкции. Регулярное обновление ПО и использование антивирусных решений для macOS также могут помочь в обнаружении подобных угроз.

Domains

• jmpbowl.coupons
• jmpbowl.fun
• jmpbowl.shop
• jmpbowl.space
• jmpbowl.today
• jmpbowl.top
• jmpbowl.world
• jmpbowl.xyz
• macclouddrive.com
• maccloudsafe.com
• maccloudvault.com
• macfilebackup.com
• macfiledrive.com
• macfilevault.com

SHA256

• c99dea85f0ef8d3e2f3771c8ebd02d7dee0d90efc5c8392e5c266a59640a4206
• ec6bc84be18ce4cb55fb915370c00f2a836ffefc65c6b728efb8d2d28036e376