Под видом популярной утилиты для macOS распространяется мощный стилер с функцией долгосрочного закрепления в системе

Атака начинается с сайта-двойника, использующего доменное имя cleanmymacos[.]org, который визуально полностью копирует официальную страницу популярной утилиты CleanMyMac от компании MacPaw. Однако вместо стандартного процесса загрузки установочного файла посетителям предлагается так называемый «продвинутый» метод инсталляции, якобы предназначенный для опытных пользователей. Страница содержит инструкцию открыть терминал и вставить определённую команду. Этот приём, известный как ClickFix, стал распространённым вектором доставки вредоносного ПО для macOS, поскольку он обходит многие встроенные защитные механизмы, такие как Gatekeeper и XProtect, - программа выполняется добровольно самим пользователем.

Выполненная команда выполняет три действия: выводит в терминал строку, призванную успокоить пользователя ссылкой на официальный сайт, декодирует закодированную ссылку и, наконец, загружает и немедленно исполняет шелл-скрипт с сервера злоумышленников. С точки зрения пользователя, ничего подозрительного не происходит. Первым на компьютер жертвы попадает загрузчик, который проводит первоначальную разведку. Одной из ключевых проверок является анализ настроек клавиатуры на предмет наличия русской раскладки. Если она обнаружена, вредоносная программа отправляет на командный сервер событие "cis_blocked" и завершает работу, не причиняя вреда. Эта форма геотаргетирования, когда вредоносное ПО избегает заражения систем в странах СНГ, давно наблюдается в кампаниях, связанных с русскоязычными киберпреступными группами, и снижает риск привлечения внимания правоохранительных органов в регионе операторов.

Если система проходит проверку, загрузчик отправляет профиль устройства на командный сервер res2erch-sl0ut[.]com, включая внешний IP-адрес, имя хоста, версию macOS и локаль клавиатуры. Каждый отчёт помечается уникальным хэшем сборки, который действует как идентификатор для отслеживания кампании. Исследователи отметили, что наличие в образце поля "BUILD_NAME" со значением "PAds" может указывать на то, что трафик на поддельный сайт привлекается через платные рекламные кампании, а не через органический поиск.

После подтверждения цели загружается основной вредоносный скрипт на AppleScript, который первым делом закрывает окно терминала, скрывая следы своего запуска. Затем следует этап сбора пароля: пользователю показывается диалоговое окно, почти идеально имитирующее легитимный системный запрос macOS от «Системных настроек» с иконкой замка. Сообщение «Required Application Helper. Please enter password for continue» содержит грамматическую ошибку («for continue» вместо «to continue»), которая может остаться незамеченной. Скрипт проверяет корректность пароля и повторяет запрос до десяти раз, пока не будет введён верный пароль учетной записи. Этот пароль является ключом к доступу ко всем остальным данным, так как позволяет расшифровать содержимое связки ключей (Apple Keychain) - встроенного в macOS защищённого хранилища паролей, сертификатов и ключей.

Обладая паролем, SHub Stealer приступает к систематическому сбору информации. Он проверяет 14 браузеров на базе Chromium (Chrome, Edge, Brave и другие), а также Firefox, извлекая сохранённые пароли, файлы cookies и данные автозаполнения. Отдельное внимание уделяется криптовалютным кошелькам: стилер ищет данные 102 расширений для браузеров, включая MetaMask и Phantom, а также файлы 23 настольных приложений, таких как Exodus, Atomic Wallet, Ledger Live и Trezor Suite. Кроме того, собираются данные iCloud, сессии Telegram, история командных оболочек (где часто хранятся токены разработчиков) и конфигурационные файлы Git. Вся собранная информация упаковывается в ZIP-архив и отправляется на сервер злоумышленников, после чего временные файлы удаляются.

Отличительной и наиболее опасной особенностью SHub является не просто кража данных, а активная модификация установленных приложений криптокошельков для обеспечения долгосрочного доступа. Если стилер обнаруживает определённые приложения (Exodus, Atomic Wallet, Ledger Wallet, Ledger Live, Trezor Suite), он silently заменяет их ключевой исполняемый файл "app.asar" на вредоносную версию, загруженную с C2-сервера. Модифицированные приложения затем подписываются заново, чтобы обмануть защитные механизмы macOS. Каждая поддельная версия настроена на кражу сид-фразы (seed phrase) или пароля кошелька при каждой разблокировке, отправляя их на единый для всех endpoint wallets-gate[.]io/api/injection. В случае с Ledger и Trezor Suite пользователю может показываться фальшивый мастер восстановления или окно критического обновления безопасности.

Для обеспечения устойчивого присутствия в системе SHub создаёт фоновую задачу (LaunchAgent) с названием "com.google.keystone.agent.plist", маскируясь под легитимный сервис обновления Google. Эта задача выполняется каждые 60 секунд, проверяя соединение с C2-сервером и получая возможность исполнять произвольные команды на заражённом компьютере. Финальным штрихом атаки является показ пользователю сообщения об ошибке: «Your Mac does not support this application», что объясняет, почему ожидаемое приложение CleanMyMac не установилось, и отвлекает жертву от поиска реальной угрозы.

Данная кампания наглядно демонстрирует растущую изощрённость вредоносного ПО для macOS. SHub Stealer, с его системой отслеживания кампаний, детальной телеметрией, функцией модификации приложений и сложным механизмом закрепления в системе, напоминает скорее платформу «вредоносное ПО как услуга» (malware-as-a-service), чем простой стилер. Для пользователей основная рекомендация остаётся неизменной: устанавливайте программное обеспечение исключительно из официального App Store или с проверенных сайтов разработчиков. Легитимные приложения почти никогда не требуют ввода команд в терминал для установки - такой запрос является однозначным сигналом опасности. В случае возможного заражения необходимо немедленно проверить систему на наличие указанных файлов закрепления, считать все пароли и сид-фразы криптокошельков скомпрометированными и принять меры по переносу средств и смене учётных данных на чистых устройствах.

Domains

• cleanmymacos.org
• res2erch-sl0ut.com
• wallets-gate.io