Провайдер в курсе всего. Девушка узнает последней
Image

Провайдер в курсе всего. Девушка узнает последней

Жми подписаться, ведь дальше градус будет только расти.

Хотели почистить Mac, а почистили криптокошелёк. История о том, почему бесплатный сервис обходится дороже нового ноутбука

leer en español

Apple CleanMyMac MacPaw Malwarebytes SHub macOS криптокошельки
Хотели почистить Mac, а почистили криптокошелёк. История о том, почему бесплатный сервис обходится дороже нового ноутбука
Apple CleanMyMac MacPaw Malwarebytes SHub macOS криптокошельки

Иногда безупречный фасад скрывает за собой тотальный крах.

image

Злоумышленники запустили новую кампанию против владельцев Mac, замаскировав вредоносную схему под загрузку популярной утилиты CleanMyMac. Атака бьёт сразу по деньгам и личным данным: после заражения у жертв крадут пароли, содержимое браузеров, криптокошельки и доступ к мессенджерам, а затем закрепляются в системе для дальнейшего контроля.

О кампании сообщила команда Malwarebytes Labs. По данным компании, мошенники создали почти неотличимую копию сайта CleanMyMac, не связанную с разработчиком легитимной программы MacPaw. Для привлечения пользователей преступники, вероятно, покупают рекламу и перехватывают тех, кто ищет утилиту для очистки macOS.

Схема построена не на уязвимости, а на социальной инженерии. Посетителю предлагают открыть «Терминал» и вставить команду, которая якобы нужна для установки. После запуска команда незаметно загружает с сервера операторов стилер SHub. Такой подход помогает обойти встроенные защитные механизмы macOS, поскольку пользователь сам подтверждает запуск.

Для маскировки сценарий выводит успокаивающее сообщение о подключении к ресурсу MacPaw, хотя настоящий адрес скрыт в закодированном виде. После запуска загрузчик отправляет на управляющий сервер сведения о системе и идентификатор заражения. Специалисты Malwarebytes нашли в коде отметку «PAds», которая может говорить об использовании платной рекламы для доставки жертв на поддельный сайт.

Во время установки SHub просит пароль пользователя. Получив доступ, вредоносная программа начинает собирать данные из macOS Keychain, браузеров на базе Chromium и Safari, а также ищет расширения криптокошельков. В зоне риска оказываются сохранённые пароли, cookie-файлы, данные автозаполнения, ключи Wi-Fi, токены приложений, учётные записи iCloud, базы Apple Notes и файлы сессий Telegram.

На краже данных атака не заканчивается. SHub оставляет в системе бэкдор, подменяет одно из приложений криптокошелька вредоносной копией и устанавливает LaunchAgent под видом службы обновления Google. Такой механизм позволяет операторам выполнять команды на заражённом Mac, пока следы закрепления не найдут и не удалят.

Malwarebytes советует не запускать команды из интернета без полного понимания их назначения и загружать программы только из App Store или с официальных сайтов разработчиков. Тем, кто уже выполнил команду, компания рекомендует срочно перевести средства на новые кошельки с чистого устройства, сменить пароли, отозвать чувствительные токены и проверить Mac на наличие механизмов закрепления.