Фейковые сообщения об устранении неполадок macOS устанавливают программы для кражи криптокошельков

Злоумышленники публикуют поддельные руководства по устранению неполадок macOS на платформах Medium, Craft и Squarespace. Цель состоит в том, чтобы заставить пользователей запускать команды в Терминале, которые устанавливают вредоносное ПО, нацеленное на данные iCloud, сохраненные пароли и криптовалютные кошельки.

Результаты исследования были опубликованы исследовательской группой Microsoft Defender Security Research Team. Кампания ведётся с конца 2025 года. Она нацелена на пользователей Mac, ищущих помощи в решении распространённых проблем, таких как освобождение места на диске или исправление системных ошибок.

Вместо того чтобы предложить действенное решение, эти страницы предлагают пользователям скопировать команду и вставить её в Терминал. Эта команда загружает и запускает вредоносное ПО.

Вводящие в заблуждение сообщения в блоге советуют читателям скопировать вредоносную команду и вставить её в Терминал. Эта команда загружает вредоносное ПО и запускает его на компьютере жертвы.

Этот метод называется ClickFix. Это социальная инженерия, которая перекладывает ответственность за запуск вредоносной программы на жертву. Поскольку пользователь запускает команду непосредственно в Терминале, macOS Gatekeeper никогда не проверяет вредоносную программу.

Обычно Gatekeeper проверяет наличие цифровой подписи и нотариального заверения кода в пакетах приложений, открытых через Finder, но этот метод полностью обходит эту проверку.

Злоумышленники запустили три кампании с одной и той же целью

Компания Microsoft обнаружила три установщика рекламных кампаний:

1. Погрузчик.
2. Сценарий.
3. Помощник.

Все три метода собирают конфиденциальные данные, обеспечивают постоянное присутствие в системе и передают украденную информацию на серверы злоумышленника.

К семействам вредоносных программ относятся AMOS, Macsync и SHub Stealer. Если установлена ​​хотя бы одна из этих трех программ, она атакует данные учетных записей iCloud и Telegram. Затем она ищет личные документы и фотографии размером менее 2 МБ. Кроме того, онаtracключи криптокошельков из Exodus, Ledger и Trezor, а также крадет сохраненные имена пользователей и пароли из Chrome и Firefox.

После установки вредоносная программа выводит поддельное диалоговое окно и запрашивает системный пароль для установки «вспомогательного инструмента». Если пользователь вводит пароль, злоумышленник получает полный доступ к файлам и системным настройкам.

В некоторых случаях исследователи обнаружили, что злоумышленники удаляли легитимные приложения криптокошельков и заменяли их троянизированными версиями, предназначенными для отслеживания транзакций и кражи средств.

В числе основных целей этой атаки были Trezor Suite, Ledger Wallet и Exodus.

В загрузочную кампанию также включена функция аварийного отключения. Вредоносная программа прекращает выполнение, если обнаруживает русскую раскладку клавиатуры.

Специалисты по безопасности обнаружили, что злоумышленники использовали curl, osascript и другие встроенные утилиты macOS для запуска вредоносных программ непосредственно в оперативной памяти. Это бесфайловый подход, который затрудняет обнаружение стандартными антивирусными инструментами.

Злоумышленники нацелились на разработчиков криптовалют

Специалисты по безопасности из ANY[.]RUN обнаружили операцию Lazarus Group под названием «Mach-O Man». Хакеры использовали ту же технику ClickFix, рассылая поддельные приглашения на встречи. Они атаковали финтех- и крипто-машины, где широко распространена macOS.

Cryptopolitan опубликовало статью о кампании PromptMink.

Вредоносный npm-пакет был внедрен в криптотрейдинговый проект северокорейской группой Famous Chollima с помощью сгенерированного искусственным интеллектом изменения. Используя двухуровневый подход к пакетированию, вредоносная программа получила доступ к данным кошелька и системным секретам.

Обе кампании показывают, что данные криптокошельков имеют большую ценность. Злоумышленники адаптируют свои методы распространения, переходя от поддельных сообщений в блогах к взлому цепочек поставок с помощью ИИ, чтобы получить к ним доступ.