Компания Mosyle, ведущий специалист в области управления и безопасности устройств Apple, сообщила об обнаружении нового вредоносного ПО для хищения данных, получившего название ModStealer. Эта программа оставалась невидимой для всех основных антивирусных механизмов с момента её первого появления в VirusTotal почти месяц назад.
Описание
Согласно данным, предоставленным Mosyle, ModStealer не ограничивается только системами macOS - он является кроссплатформенным и целенаправленно создан для одной цели: кражи данных. По данным анализа, распространение вредоноса происходит через фишинговые объявления о найме на работу, ориентированные на разработчиков. Злоумышленники используют сильно обфусцированный JavaScript-файл, написанный на NodeJS, который остаётся полностью незаметным для сигнатурных методов защиты. Под угрозой находятся не только пользователи Mac, но также среды Windows и Linux.
Основная цель ModStealer - эксфильтрация конфиденциальной информации, включая криптовалютные кошельки, файлы учётных данных, детали конфигурации и сертификаты. Исследователи обнаружили предустановленный код, нацеленный на 56 различных расширений браузерных кошельков, включая Safari, с целью извлечения приватных ключей и другой чувствительной информации.
Кроме того, ModStealer способен перехватывать содержимое буфера обмена, делать скриншоты и выполнять код удалённо. Первые две функции уже представляют серьёзную угрозу, однако последняя позволяет злоумышленникам получить почти полный контроль над заражёнными устройствами.
Особую тревогу вызывает скрытность работы вредоноса. Необнаруживаемое вредоносное ПО представляет огромную проблему для сигнатурных систем защиты, поскольку может долгое время оставаться незамеченным. На macOS ModStealer обеспечивает себе устойчивость, злоупотребляя встроенной утилитой launchctl от Apple, внедряясь в систему как LaunchAgent. После этого он тихо отслеживает активность и передаёт собранные данные на удалённый сервер. Исследователи отмечают, что сервер, на который отправляется информация, расположен в Финляндии, но связан с инфраструктурой в Германии, что, вероятно, маскирует реальное местоположение операторов.
Mosyle предполагает, что ModStealer соответствует модели Malware-as-a-Service (MaaS), при которой разработчики создают и продают вредоносные пакеты аффилированным лицам с низким уровнем технических знаний. Такая бизнес-модель становится всё популярнее среди киберпреступных группировок, особенно в распространении похитителей данных. Ранее в этом году Jamf сообщила о росте таких угроз на 28%, что сделало инфостилеры ведущим типом вредоносного ПО для Mac в 2025 году.
Для специалистов по безопасности, разработчиков и конечных пользователей это открытие служит серьёзным напоминанием о том, что одних только сигнатурных методов защиты недостаточно. Непрерывный мониторинг, поведенческие методы анализа и осведомлённость о новых угрозах становятся необходимыми элементами защиты в современном цифровом мире.
Индикаторы компрометации
IPv4
- 95.217.121.184
SHA256
- 8195148d1f697539e206a3db1018d3f2d6daf61a207c71a93ec659697d219e84
