Анонс лучших ИБ мероприятий
Image

Твоя ИБ-афиша готова

Здесь только лучшие вебинары, курсы и конференции по ИБ.

Пишите код на macOS и думаете, что защищены? Инфостилер MacSync смеётся над вами в голос

Sophos MacSync ClickFix ChatGPT Pillar Security KongTuke инфостилер
Пишите код на macOS и думаете, что защищены? Инфостилер MacSync смеётся над вами в голос
Sophos MacSync ClickFix ChatGPT Pillar Security KongTuke инфостилер

Злоумышленники бьют в слепую зону защиты — в доверчивого пользователя.

image

Специалисты компании Sophos зафиксировали рост атак, в которых злоумышленники распространяют инфостилер MacSync для macOS через цепочки ClickFix. Кампании делают ставку не на уязвимости, а на поведение пользователей — жертву убеждают вручную вставить и выполнить команды в терминале, маскируя процесс под установку полезных инструментов.

Аналитики описали три разные волны атак, начавшиеся в конце 2025 года. В ноябре вредонос распространяли под видом браузера ChatGPT Atlas — пользователи переходили по рекламным ссылкам в Google, попадали на поддельные страницы и получали инструкции для запуска команды в терминале. Скрипт загружал вредонос и запрашивал пароль системы.

В декабре схема усложнилась. Злоумышленники использовали реальные страницы ChatGPT, где публиковали якобы безопасные диалоги. Такие страницы перенаправляли на поддельные сайты в стиле GitHub, где снова предлагали выполнить команды.

В феврале этого года появилась новая версия MacSync, ориентированная на пользователей из Бельгии, Индии и стран Америки. Обновлённый вариант применяет динамические AppleScript-компоненты и выполняется в памяти, что усложняет обнаружение и анализ.

После запуска команды вредоносный скрипт связывается с сервером управления, загружает основной модуль и пытается скрыть следы активности. MacSync собирает учётные данные, файлы, содержимое связки ключей macOS, а также сид-фразы криптокошельков.

Злоумышленники активно используют доверие к сервисам с искусственным интеллектом. Кампании маскируют вредонос под установщики популярных инструментов и библиотек. Подход получил названия InstallFix и GoogleFix. В ряде случаев атаки приводят к заражению Windows-систем через другие семейства инфостилеров, включая Alien и Remcos.

По данным Pillar Security, только за февраль и март 2026 года выявили не менее 20 кампаний, нацеленных на инструменты для разработки и ИИ-сервисы. Значительная часть атак ориентирована на macOS, поскольку пользователи таких систем чаще хранят ценные данные — ключи доступа к облакам и криптокошельки.

Отдельное внимание привлекла инфраструктура KongTuke, которая распространяет вредонос через взломанные сайты на WordPress. В код страниц внедряют вредоносный JavaScript, предлагающий выполнить команды PowerShell или пройти фиктивную проверку Cloudflare. После этого начинается многоэтапное заражение, в том числе с загрузкой трояна ModeloRAT.

Эксперты отмечают, что эффективность ClickFix связана с привычными сценариями установки программ через терминал. Многие разработчики регулярно используют команды вида «curl | sh», поэтому вредоносные инструкции не вызывают подозрений и выглядят как стандартная практика.