Новый вредоносный стилер для macOS маскируется под утилиты Apple, предупреждают эксперты

Эксперты по кибербезопасности из компании SentinelOne выявили новую модификацию известного вредоносного программного обеспечения SHub для macOS, получившую название ‘Reaper’. Этот стилер, по данным исследователей, активно использует маскировку под официальные системные компоненты Apple и Google для похищения конфиденциальных данных пользователей.

Механизм распространения и маскировки

Согласно новому отчёту SentinelOne, распространение ‘Reaper’ осуществляется через домены, использующие технику тайпсквоттинга, то есть имитирующие названия популярных приложений, таких как WeChat (известное китайское приложение для обмена сообщениями и социальных сетей) и Miro (онлайн-платформа для визуального сотрудничества). Пользователи macOS, пытающиеся установить эти приложения, запускают цепочку заражения, в ходе которой вредоносное ПО постоянно меняет свою маскировку, чтобы выглядеть легитимным. После активации скрипт выводит поддельное сообщение об обновлении, ссылаясь на инструмент безопасности Apple XProtectRemediator. Затем, инфицировав систему, он обеспечивает свою устойчивость, создавая файлы и папки, имитирующие компоненты обновления программного обеспечения Google.

Механизм действия и геополитические особенности

Вредоносное ПО скрывает бэкдор в поддельной директории ‘GoogleUpdate’ и регистрирует LaunchAgent под названием ‘com.google.keystone.agent.plist’, как отмечают исследователи. Основная цель атаки — похищение учётных данных, конфиденциальных файлов и данных криптовалютных кошельков. Хотя SentinelOne не приписывает эту кампанию какой-либо конкретной группе, были обнаружены признаки, указывающие на русскоязычных операторов или их стремление избегать целей в странах бывшего СССР. Вредоносная программа проверяет наличие русских источников ввода на заражённой системе и завершает работу, если обнаруживает, что система находится в странах СНГ (Содружество Независимых Государств). Кроме того, при попытке обойти защиту от анализа вредоноса исследователи столкнулись с сообщением ‘Доступ запрещен’ на русском языке, отображаемым на фишинговом сайте.

Цели хищения данных

Вариант ‘Reaper’ преимущественно нацелен на веб-браузеры, криптовалютные кошельки и приложения, содержащие финансовые или деловые данные. Он похищает:

• учётные данные браузеров;
• данные криптовалютных кошельков;
• связки ключей для входа;
• данные сессий Telegram;
• документы из папок ‘Рабочий стол’ и ‘Документы’.

Также вредоносное ПО ищет расширения браузеров, связанные с менеджерами паролей (например, 1Password, Bitwarden и LastPass) и криптовалютными кошельками (такими как MetaMask и Phantom).