Троян JobSteeler под видом приложений для собеседований ворует криптокошельки на macOS и Windows

Схема атаки выглядит как типичный сценарий социальной инженерии. Злоумышленники связываются с потенциальными жертвами, чаще всего через мессенджеры или электронную почту, и предлагают привлекательную вакансию. Для прохождения собеседования они присылают ссылку на сайт, внешне напоминающий платформу для онлайн-встреч. Такие ресурсы имеют качественный дизайн и создают иллюзию настоящего сервиса. Однако на деле это подделка. С этих сайтов под видом установщика программы для видеоконференций скачивается троян JobStealer. Преступники используют разные названия для маскировки: специалисты встречали варианты MeetLab, Juseo, Meetix, Carolla и даже копию реального сервиса Webex.

Чтобы усыпить бдительность пользователей, мошенники подкрепляют подделку активностью в социальных сетях. Они создают телеграм-каналы и аккаунты в X, где якобы рекламируют свои "платформы". Это добавляет видимости легитимности.

Для установки трояна на macOS предлагается два способа. Первый - скопировать и выполнить в терминале bash-команду, указанную на сайте. Она загружает скрипт, который скачивает и запускает исполняемый файл JobStealer. Второй способ - скачать файл образа диска в формате .dmg и открыть его. Внутри образа находится скрипт "установки", который при выполнении в терминале запускает троянскую программу вместо заявленного приложения для конференций. Вредоносное приложение для macOS аналитики детектируют под именем Mac.PWS.JobStealer.1. На Windows распространяется аналогичная версия с той же функциональностью. При этом на мошеннических сайтах есть кнопки загрузки для Linux, iOS и Android, но они пока неактивны или ведут на Windows-версию. Нельзя исключать, что в будущем злоумышленники адаптируют троян и под другие платформы.

Исследователи "Доктор Веб" сообщили, что после запуска Mac.PWS.JobStealer.1 демонстрирует фишинговое окно с сообщением об ошибке работы. Для её "исправления" программа просит ввести пароль учётной записи пользователя Mac. Если пароль введён неверно, троян всё равно продолжает работу в режиме force_mode. Далее он начинает сбор данных. JobStealer определяет версию операционной системы, UUID компьютера, внешний IP-адрес. Главная цель - браузерные расширения-криптокошельки. В коде трояна зашифрован список из почти 300 идентификаторов таких расширений для браузеров на основе Chromium (Chrome, Opera, Brave, Vivaldi, Edge и другие). В список входят MetaMask, Coinbase Wallet, Phantom, Trust Wallet, OKX Wallet и многие другие. Троян извлекает данные из этих расширений, а также копирует файлы cookie, сохранённые пароли и данные банковских карт из автозаполнения браузеров.

Кроме того, программа собирает файлы мессенджера Telegram - сессионные ключи и прочую информацию из папок /Library/Application Support/Telegram Desktop/tdata и /Documents/temp_data/Apps/Telegram. Она выполняет скрипт на языке AppleScript для доступа к заметкам из штатного приложения Notes на macOS. Также проверяется наличие на компьютере приложений-криптокошельков Ledger Live и Trezor Suite - если они найдены, эта информация отправляется на сервер управления (C2-сервер). Сам троян не копирует данные этих кошельков, но уведомляет злоумышленников об их присутствии.

Все собранные сведения упаковываются в ZIP-архив и загружаются на C2-сервер по адресу hxxps://cloudproxy[.]link/m/opened. Параллельно формируется JSON-отчёт, который отправляется на легитимный сервис мониторинга sentry.io. Этот отчёт содержит IP, страну, версию сборки, количество извлечённых паролей, криптокошельков и другие метрики. Таким образом атакующие получают полную картину о скомпрометированном устройстве.

С технической стороны троян написан на языке Rust с обфускацией кода через Rust OLLVM, что затрудняет его анализ. Он использует интерфейс внешних функций к Objective-C, что позволяет создавать нативные фишинговые окна и выполнять OSA-скрипты. Вредоносная программа также полагается на библиотеки для работы с браузерными базами данных и извлечения сохранённой информации. С точки зрения тактик и техник киберпреступников, JobStealer охватывает такие этапы, как выполнение (запуск пользователем), обнаружение файлов и каталогов, сбор учётных данных из хранилищ паролей и браузеров, перехват ввода, архивация и эксфильтрация данных через веб-канал. Полный перечень техник описан в матрице MITRE ATT&CK.

Стоит подчеркнуть, что все известные модификации JobStealer уже надёжно детектируются антивирусными продуктами Dr.Web для macOS и Windows. Мошеннические сайты, распространяющие троян, внесены в базу нерекомендуемых и опасных ресурсов. Тем не менее пользователям стоит проявлять повышенную бдительность при получении неожиданных предложений о работе. Любая ссылка на скачивание стороннего приложения "для собеседования" должна вызывать подозрение. Лучше самостоятельно перепроверить компанию-работодателя через официальный сайт или отказаться от установки сомнительного ПО. Владельцам криптокошельков особенно важно не вводить пароль своей учётной записи в окна, появившиеся вне контекста системы безопасности. Использование современного антивирусного решения с модулем веб-защиты также снижает риск заражения.

Атака с применением JobStealer показывает, что злоумышленники продолжают активно эксплуатировать тему трудоустройства для распространения вредоносного кода. При этом они шагнули дальше - создали целую экосистему поддельных сайтов, соцсетей и каналов поддержки. Жертвами могут стать не только частные инвесторы в криптовалюты, но и сотрудники компаний, использующие на личных устройствах сохранённые пароли или корпоративные мессенджеры. Поэтому рекомендации остаются прежними: не переходить по ссылкам из подозрительных писем, не устанавливать программы вне официальных магазинов приложений и использовать надёжное защитное ПО.

Domains

• carolla.app
• meetix.app
• meetlab.io

URLs

• https://526eff9f8bb7aafd7117ca5e33a6a183@o4509139651198976.ingest.de.sentry.io/4509422649213008
• https://cloudproxy.link/m/opened
• https://freeipapi.com/api/json
• https://macos.meetix.app/install
• https://macos.meetix.app/installer

SHA1

• 0382a1baa9b10ac8408ac4d709b3dc58675ca0a5
• 213407de0ea5f352e2ab66cdb91e7e633c54cd1c
• 276bb41ef6c6bc29da7d6125525004f3c9894b57
• 5fefd3455ce725291d553f19cf621fb2fa1d1735
• 66f58d092364d462fc0ebd78e8d5a1da48bc1596
• 93d6dc15fc4a4debabc2710d5e7605d3194b5800
• a290420db6132c04eb6b8a20f7763d5e5affa8c5
• b7e9b1c4fb5ff816c6db22de1edba92ac9eb490f
• de508f82a506adeb28b513ad43c9471f767377c1
• dfc03bcf54b001dba32b5171c4a9ab2533ff5f2d
• e425c9dc0050cc8b3e572984365f28f8e06a1ef2
• f0b8ef7ba2dc9dcc6156ed5d26964798bbf5d29e