Вжух — и у вас нет крипты. Новая схема хакеров через подкасты обчищает трейдеров

Фишинговая кампания, направленная на представителей криптоиндустрии, привлекла внимание после того, как исследователь Хосе А. Гомес Ледесма из команды Quetzal сообщил о серии атак, маскирующихся под приглашения на интервью в популярный подкаст Empire. Мошенники создают впечатление реального контакта с ведущими шоу, выходят на потенциальных жертв через социальные сети и предлагают обсудить их участие в эфире. Для проведения интервью они якобы используют платформы Streamyard или Huddle, но на деле перенаправляют собеседников на фальшивые сайты, имитирующие интерфейс этих сервисов.

При попытке подключиться к такому ресурсу пользователю показывается сообщение об ошибке — якобы браузер не поддерживается или соединение невозможно, — и предлагается скачать специальное приложение-клиент. В действительности жертва загружает DMG-файл, который представляется как Streamyard или Huddle, но на самом деле является маскировкой для вредоноса AMOS Stealer, специально созданного для атак на устройства под управлением macOS.

После установки DMG-файл запускает цепочку команд, включающую сложную декодировку содержимого. Внутри образа размещён обфусцированный Bash-скрипт, зашифрованный в формате Base64, который затем проходит стадию XOR-дешифровки через Perl и снова расшифровывается из Base64. В результате этих операций создаётся и запускается AppleScript, задача которого — обнаружить скрытый исполняемый файл внутри установленного тома. Названия томов — .Huddle или .Streamyard — с точкой в начале указывают на их скрытность в Unix-среде. Именно в этих файлах и находится вредоносный компонент AMOS Stealer.

Данный стилер активно используется злоумышленниками для кражи различной конфиденциальной информации — от паролей и сессий браузеров до данных банковских приложений и криптокошельков. После заражения такие артефакты зачастую продаются на даркнет-форумах, иногда по цене ниже стоимости обеда. AMOS ранее уже замечался в подобных атаках, включая кампании с использованием поддельного ПО вроде DeepSeek, и известен своей кросс-программной маскировкой под доверенные приложения.

Новая волна атак с использованием поддельных приглашений в подкасты продолжает серию изощрённых схем, ориентированных на криптосообщество. Всего несколько недель назад в похожей операции злоумышленники выдавали себя за журналистов CoinMarketCap, чтобы выйти на топ-менеджеров отрасли. Современные подходы становятся всё более адресными: фальшивые страницы предельно точно копируют интерфейсы популярных платформ, а общение в соцсетях выстроено так, чтобы вызвать доверие. Жертва получает персонализированное сообщение, предложение об интервью и «служебную» ссылку — всё выглядит реалистично до самого момента загрузки вредоносного файла.

На текущий момент выявлены и опубликованы хеши нескольких образов, распространявших AMOS: среди них файлы с названиями Huddle.Iwv и Streamyard.ZTz, а также домены-ловушки вроде streamyard.ai и huddle01.com. Отчёт Quetzal содержит и технические индикаторы компрометации, включая SHA256-суммы всех известных вредоносных файлов, используемых в этой цепочке заражения.

Маскировка под Empire Podcast и копирование интерфейсов Streamyard и Huddle делают атаку особенно убедительной — жертвы сталкиваются с подделкой на каждом этапе: от общения в соцсетях до фактической установки программы. Несмотря на то, что вредонос распространяется только под macOS, именно эта платформа остаётся наиболее популярной среди Web3-разработчиков и трейдеров, что делает кампанию особенно эффективной.