Вредоносное ПО для macOS эволюционирует: подписанные приложения маскируются под легитимные, что повышает скрытность угроз для пользователей криптовалют

Согласно сообщению эксперта по безопасности, вредоносная программа MacSync Stealer, действующая в среде macOS, значительно усовершенствовала методы распространения, что уже привело к краже средств пользователей.

Ранее злоумышленники использовали простые методы обмана, такие как инструкции «перетащи в терминал». Теперь же они перешли на более изощренную тактику: вредоносное ПО распространяется в виде подписанного и прошедшего проверку Apple (notarized) приложения на Swift, что значительно повышает его скрытность и «доверие» со стороны системы.

Программа маскируется под установщик мессенджера или полезного инструмента (например, под именем `zk-call-messenger-installer-3.9.2-lts.dmg`). В новой версии для кражи данных не требуется действий пользователя в терминале — встроенный вспомогательный модуль автоматически загружает и выполняет скрипт с удаленного сервера.

Приложение имеет действующую цифровую подпись от разработчика с идентификатором `GNJJLS3UYZ4`, что позволяет ему легче обходить стандартные защитные механизмы macOS. Для отвлечения внимания вредоносный образ диска содержит файлы большого размера, например, документы LibreOffice.

Специалисты предупреждают, что подобные программы-воры нацелены на кражу данных браузеров, учетных записей и, что особенно важно, информации из криптокошельков (секретные фразы, приватные ключи). Злоупотребление механизмами подписи и проверки Apple со стороны злоумышленников повышает риски фишинга и утечки конфиденциальных данных для владельцев криптоактивов, использующих macOS.