Исследователи кибербезопасности обнаружили новую изощренную кампанию, нацеленную на пользователей macOS. Злоумышленники используют рекламные объявления в Google (malvertising) и публичные чаты крупных языковых моделей (LLM), таких как ChatGPT и DeepSeek, для распространения сложного вредоносного ПО. Основная цель атаки - кража паролей, данных браузеров и криптовалютных кошельков.
Описание
Первоначальный вектор заражения выглядит обманчиво просто. Пользователь, ищущий в Google инструкции по распространенным задачам, например, «как очистить память на Mac», видит спонсируемый результат поиска. Этот результат ведет не на обычный сайт, а на публично доступный «общий чат» в интерфейсе ChatGPT или DeepSeek. Внутри такого чата злоумышленники разместили инструкции, которые кажутся легитимными, но содержат вредоносные команды для терминала, закодированные в формате Base64.
После декодирования команда из чата ChatGPT ведет на скрипт с домена "nonnida[.]com/cleangpt", а вариант из DeepSeek - на "nonnida[.]com/wallet". Оба скрипта выполняют схожие действия. Они создают цикл, который запрашивает у пользователя пароль от системы macOS, проверяет его корректность с помощью команды "dscl . -authonly" и сохраняет в временный файл "/tmp/.pass". Затем, используя этот пароль для эскалации привилегий через "sudo", скрипт загружает и исполняет основной вредоносный модуль ("/tmp/update") с того же домена.
Исследователи отмечают, что эта техника malvertising является особенно коварной. Злоумышленники используют легитимные, доверенные платформы для публикации вредоносного контента, что позволяет обходить некоторые встроенные проверки безопасности. Пользователь, видя знакомый интерфейс ChatGPT в результатах поиска, с большей вероятностью доверится предоставленным инструкциям.
Основной модуль вредоносного ПО представляет собой нативный бинарный файл для macOS с многослойной обфускацией. Анализ показал, что он использует кастомный 6-битный декодер, похожий на Base64, но со скрытой алфавитной таблицей, что затрудняет статический анализ. После декодирования выяснилось, что это образец известного стилера информации Shamus, адаптированный под macOS.
Вредоносный сценарий, написанный на AppleScript, обладает широким спектром возможностей. Прежде всего, он проверяет окружение на признаки виртуализации или песочницы (QEMU, VMware, KVM), чтобы избежать анализа. Затем он скрывает окно терминала и приступает к краже данных.
Сбор информации начинается с пароля. Если файл "/tmp/.pass", созданный начальным скриптом, не содержит валидный пароль, вредоносное ПО отображает фишинговое окно, имитирующее системный запрос macOS. Пользователя просят ввести пароль для «требуемого помощника приложения». Полученный пароль затем используется для выполнения привилегированных команд.
Стилер целенаправленно собирает данные из множества источников. Он крадет файлы Cookies, History и Login Data из 12 различных браузеров на базе Chromium, включая Chrome, Brave и Edge, а также из Firefox. Отдельная функция ищет и извлекает данные более чем 200 криптовалютных браузерных расширений, таких как MetaMask.
Для кражи криптовалюты вредоносное ПО ищет файлы 15 различных десктопных кошельков, включая Electrum, Exodus, Ledger Live и Trezor Suite. Оно копирует целые директории кошельков, сохраняя их структуру. Кроме того, скрипт похищает системный ключ-чейн (Keychain) macOS, содержащий сохраненные пароли, а также файлы с определенными расширениями (.txt, .pdf, .docx, .wallet, .key и др.) с рабочего стола и из папок «Документы» и «Загрузки».
Для обеспечения устойчивости (persistence) вредоносное ПО устанавливает фоновую службу LaunchDaemon с именем "com.finder.helper". Эта служба, работающая от имени root, загружает и запускает основной бот-модуль, обеспечивая его постоянную работу и автозагрузку при перезапуске системы.
Одной из самых опасных функций является троянизация приложений. Скрипт может заменить легитимное приложение Ledger Live на скомпрометированную версию, загруженную с сервера злоумышленников. Это позволяет перехватывать транзакции даже при использовании аппаратных кошельков, что представляет серьезную угрозу для безопасности активов.
Все собранные данные упаковываются в ZIP-архив в случайно названной временной директории (например, "/tmp/4521/") и отправляются на сервер управления и контроля (Command and Control, C2) по адресу "http://45.94.47[.]205/contact". Вредоносное ПО использует повторные попытки отправки в случае сбоя.
Эта кампания демонстрирует растущую изощренность киберпреступников, которые комбинируют современные техники социальной инженерии, такие как использование доверия к платформам ИИ, со сложным многофункциональным вредоносным ПО. Пользователям macOS рекомендуется проявлять крайнюю осторожность при выполнении команд из непроверенных источников, особенно полученных через рекламные ссылки, и всегда проверять подлинность системных запросов на ввод пароля.
Индикаторы компрометации
IPv4
- 45.94.47.205
Domains
- nonnida.com
URLs
- http://45.94.47.205/contact
