Новый macOS-инфорстейлер DigitStealer обходит защиту с помощью проверок оборудования и многоэтапных атак

Угроза распространяется через поддельный дисковый образ "DynamicLake.dmg", маскирующийся под легитимную утилиту. В отличие от настоящей версии, которая имеет кодовая подпись с идентификатором XT766AV9R9, вредоносная распространяется через домен dynamiclake[.]org. На момент обнаружения образ оставался незамеченным антивирусными системами.

Особенностью начальной стадии атаки стало использование файла с расширением .msi, что нетипично для macOS и может быть попыткой запутать пользователей. При запуске сценарий использует технику "перетаскивания в Терминал" для обхода Gatekeeper - встроенной системы безопасности macOS.

Первый этап атаки включает выполнение bash-сценария, который проводит серию сложных проверок системы. Помимо стандартных анти-эмуляционных методик, скрипт проверяет локаль устройства и выходит из работы при обнаружении определенных регионов, включая Россию и страны СНГ. Более интересны аппаратные проверки: вредоносная программа использует команды sysctl для определения характеристик процессора Apple Silicon, целенаправленно исключая системы на чипах M1 и виртуальные машины, работая только на устройствах с M2 или новее.

После успешного прохождения проверок загружаются четыре различных полезных нагрузки (payload), каждая из которых выполняется непосредственно в памяти. Первая представляет собой скрипт AppleScript, который запрашивает пароль пользователя и собирает различные данные, включая файлы с рабочего стола и из папок загрузок. Собранная информация передается на домен goldenticketsshop[.]com, который является опечаткой легитимного goldenticketshop[.]com.

Вторая нагрузка использует обфусцированный JavaScript для автоматизации (JXA) для кражи данных браузеров, файлов криптовалютных кошельков и VPN-конфигураций. Третья целенаправленно модифицирует приложение Ledger Live, заменяя оригинальные файлы на вредоносные через механизм раздельной загрузки компонентов.

Наиболее интересен механизм устойчивости (persistence): четвертая нагрузка создает Launch Agent, который динамически получает команды через DNS-записи типа TXT. Этот подход ранее не наблюдался в macOS-инфорстейлерах и позволяет злоумышленникам удаленно обновлять функциональность вредоносной программы.

Финальная полезная нагрузка действует как бэкдор на JXA, постоянно опрашивая сервер управления каждые 10 секунд и готовый выполнять новые команды. Это создает постоянный канал для удаленного доступа к системе.

Аналитики отмечают, что авторы DigitStealer демонстрируют глубокое понимание архитектуры macOS и используют легитимные сервисы, такие как pages.dev от Cloudflare, для размещения своих payload. Это усложняет блокировку угрозы без ложных срабатываний.

Рекомендации по защите включают включение предотвращения угроз и расширенного контроля в решениях безопасности, а также осторожность при установке программ из непроверенных источников. Поскольку многие компоненты выполняются исключительно в памяти, поведенческий анализ становится критически важным для обнаружения таких атак в реальном времени.

Domains

• goldenticketsshop.com

URLs

• https://67e5143a9ca7d2240c137ef80f2641d6.pages.dev/054e6893413402d220f5d7db8ef24af0.aspx
• https://67e5143a9ca7d2240c137ef80f2641d6.pages.dev/1e5234329ce17cfcee094aa77cb6c801.aspx
• https://67e5143a9ca7d2240c137ef80f2641d6.pages.dev/2bbfdf3250a663cf7c4e10fc50dfc7da.aspx
• https://67e5143a9ca7d2240c137ef80f2641d6.pages.dev/c9c114433040497328fe9212012b1b94.aspx
• https://67e5143a9ca7d2240c137ef80f2641d6.pages.dev/f42bb3a975870049d950dfa861d0edd4.aspx
• https://f0561b4e3c1308eeb8cdd23016ed86ec.pages.dev/0293357d93632edc913fcc8f5c40bfd0.aspx
• https://f8b2ef8b94b215ce04836d1c47b556ba.pages.dev/0533ae5df654f42b933c41e76680720f.aspx
• https://f8b2ef8b94b215ce04836d1c47b556ba.pages.dev/0eea30b1116586c6872367fb2b711205.aspx
• https://f8b2ef8b94b215ce04836d1c47b556ba.pages.dev/1c9e2dffde32a91a712e06282a938ba3.aspx
• https://f8b2ef8b94b215ce04836d1c47b556ba.pages.dev/f2c70c5a2e208714eca43cbddb3cac82.aspx
• https://goldenticketsshop.com
• https://goldenticketsshop.com/api/credentials
• https://goldenticketsshop.com/api/grabber
• https://goldenticketsshop.com/api/log
• https://goldenticketsshop.com/api/poll
• https://ledgmanyman.com
• https://nevadabtcshill.com
• https://sweetseedsbeep.com

SHA256

• 05bee860231a9686ea9205bc43cd09a31155a4d191390594a8e308d6d36eeb2f
• 12e630d6041eb7322901150079c0d0fdbd47b0098dc5cb0f2de23b6e8d5082e1
• 226cbbf43d9bcedcc5ab69e51e5cce2f4ca841aa7ab39fdf974766203e2c9b66
• 440b91df67389e2421dc32e878c38926d21f197f2982f2e446497cf3ab20ce8f
• 44b7264e9eef816df876d0107b4f26384b01c4d237950f5c5f655569f7902509
• 4832942ec7d8a80b4b30e3c9ed5d9e0e4a0e3d19aeaedb3fdbdcc266ba3a560c
• 498d271d695e424bfd7f9ad1ead187ef0ac62fa8908c6e1f239db495371ff237
• 5420a25fdd6cb6484ab3687c6bba750b40007730eb4232088b668eff0de2c072
• 7bf9609b351b38d8a54d5c0e9759fcfb21157beeac343452c129bcbbe9ee6b02
• abd54b02695338b554def160008038b5c9fd124bb84b26984bab969d91f9d96b
• b240c906ebbe27adf83aba1c13d70cd6d778681e10680d8a6b1dc18e5af5c274
• b8e80185aee2584231c872acc67dfbfeb64b148d07ea1e1aa99668bd849b95a7
• d1b9f14565a0aec33cc17b4db86d92df00b00232725791567ee34f107dac810a
• da99f7570b37ddb3d4ed650bc33fa9fbfb883753b2c212704c10f2df12c19f63
• ea9e548b27e07d068449cd44b68cf086a652c4bee0080af19da1c9f988bd0897
• fb237b161fe39322440f5e7e5f8cce5f969ebe179a81342aec94c0697a0bd364
• fb3e5b804ca57b71368c7dfffcf8f20a7d66266bb6d36146163b9ec80e31aafe
• ff6959cf92bce91b4f51651f5c3ef16c263095bc7d7f017ea402db1b79e9ece4