Даже Safari сдался. Как новый вирус обчистил браузер, который ранее считали защищённым

Рост популярности компьютеров Apple постепенно меняет расстановку сил в киберпреступной среде. Если раньше macOS считалась нишевой платформой, сегодня злоумышленники видят в ней источник стабильного дохода. Новые инструменты атак показывают, что эпоха «безопасных маков» окончательно ушла.

Один из таких инструментов — платформа MioLab, известная также как Nova. Разработчики активно продвигают её на теневых форумах и уже выстроили полноценную модель Malware-as-a-Service. Сервис ориентирован не на одиночных злоумышленников, а на команды, работающие с трафиком и массовыми заражениями. Панель управления, API и автоматизация делают использование вредоносного ПО максимально простым.

Основная цель MioLab — кража данных и криптовалюты. Вредоносная программа собирает пароли, cookies, историю браузеров и данные автозаполнения из популярных браузеров. Отдельный модуль нацелен на криптокошельки: он ищет как расширения вроде MetaMask, так и локальные кошельки, включая Exodus и Electrum. Особое внимание уделили аппаратным устройствам Ledger и Trezor — программа пытается перехватить сид-фразы восстановления.

Заражение строится вокруг социальной инженерии. Пользователю показывают убедительное окно установки или системное сообщение с просьбой ввести пароль. После запуска программа завершает процессы Terminal, проверяет введённые учётные данные и начинает сбор информации. Вредоносный код копирует файлы из «Документов», «Загрузок» и с рабочего стола, а затем упаковывает всё в архив и отправляет на сервер управления.

Последние обновления заметно расширили возможности платформы. Разработчики научились извлекать данные из Safari, который ранее оставался вне зоны атак. Также появился механизм расшифровки заметок Apple Notes прямо на заражённой системе, что ускоряет поиск паролей и сид-фраз. Модули для работы с аппаратными кошельками стали универсальными и адаптируются к обновлениям производителей.

Инфраструктура MioLab тесно связана с другими мошенническими схемами. Анализ доменов показал, что те же серверы используются для фишинговых кампаний с поддельными криптораздачами. После смены инфраструктуры злоумышленники не отключают старые адреса, а перенаправляют трафик на новые схемы, продолжая извлекать прибыль.

Дополнительный интерес вызывает активная рекламная кампания через вредоносную рекламу. Специалист Марсело Риверо обнаружил атаку с поддельным сайтом документации инструмента Claude Code. Для пользователей macOS там размещают команды для Terminal, которые загружают и запускают инфостилер, одновременно снимая ограничения безопасности системы.

MioLab быстро развивается и уже превратился в зрелый сервис с регулярными обновлениями и поддержкой клиентов. Такой подход показывает, что рынок вредоносного ПО для macOS вышел на новый уровень, где конкуренция и коммерциализация играют ключевую роль.