Киберпреступники развернули новую кампанию по заражению компьютеров Mac, используя рекламу в Facebook* для продвижения поддельных приложений с искусственным интеллектом. Исследователи Bitdefender обнаружили, что злоумышленники создали фейковые сайты, имитирующие популярный трекер фондового рынка TradingView и генератор видео Sora 2, для распространения нового стилера под названием MacSync.
Описание
Атака использует технику ClickFix, которая обходит встроенные системы безопасности macOS. Когда пользователь нажимает кнопку "Скачать для Mac" на поддельном сайте, вместо загрузки файла запускается серия инструкций. Эти команды выполняют скрипт, который загружает вредоносную полезную нагрузку напрямую на компьютер жертвы, минуя защитные механизмы Apple.
По данным аналитиков Moonlock, MacSync ранее был известен как mac.c stealer, но недавно прошел ребрендинг и улучшил функциональность. Этот стилер способен извлекать файлы и документы из системы, отображать поддельные запросы пароля macOS для кражи учетных данных, а также получать доступ к данным браузеров, включая куки, информацию для входа и расширения.
Особую опасность представляет способность вредоноса заменять криптовалютные расширения Ledger Live и Trezor Suite на malicious-версии. Кроме того, MacSync может получать доступ к Telegram, заметкам macOS и информации из криптокошельков, включая Exodus, Electrum, Atomic, Guarda и многие другие. Стилер также устанавливает persistence на зараженном Mac, оставаясь незамеченным в системе.
Исследователи отмечают, что хотя кампания в настоящее время использует рекламную платформу Meta, она может расшириться на другие каналы, включая спонсируемые объявления, результаты поисковых систем и социальные сети. Анализ DNS-записей показал, что злоумышленники зарегистрировали несколько доменов, перенаправляющих на одни и те же фишинговые сайты.
Специалисты по кибербезопасности рекомендуют пользователям Mac соблюдать осторожность при переходе по рекламным ссылкам и никогда не выполнять команды терминала, предлагаемые на подозрительных сайтах. Важно скачивать приложения только с официальных сайтов или из Mac App Store, а также использовать надежное антивирусное ПО для регулярной проверки системы.
Эксперты предупреждают, что в ближайшем будущем злоумышленники, вероятно, будут имитировать и другие популярные бренды, используя схожие методы атаки. Однако понимание механизма работы ClickFix позволяет пользователям защититься от всех вариаций этой техники, независимо от того, какой софт выбирают мошенники для своей кампании.
Обнаруженные вредоносные домены включают tradingview.promo2026[.]com, sorachatgpts[.]com и другие аналогичные адреса. Пользователям следует избегать посещения этих сайтов и немедленно проверять свои системы при подозрении на заражение.
* * Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
Индикаторы компрометации
URLs
- https://promo20l26.com
- https://tradingview.new.promo2026.com
- https://tradingview.promo2026.com
- https://tradingview.promo20l26.com
