Исследователи безопасности обнаружили новый вредоносный софт для macOS, который распространяется через пиратские программы с целью кражи криптовалюты. Антивирусная компания Kaspersky выявила вредоносный код, который передается через программу "Activator", предназначенную для установки и запуска пиратского программного обеспечения.
Activator запрашивает пароль пользователя системы macOS для внесения изменений, однако это позволяет ему тайно установить вредоносное ПО, способное шпионить за Mac и получать команды от сервера хакера.
По данным Kaspersky, образцы вредоносного ПО могут успешно работать на macOS Ventura 13.6 и более поздних версиях, что указывает на целенаправленное направление атаки на пользователей новых версий операционной системы на процессорах Intel и машинах с Apple Silicon. (Ventura была выпущена в сентябре 2023 года.)
В ходе исследования Kaspersky выяснилось, что создатель вредоносного ПО взял скомпрометированные версии пиратских программ и изменил несколько байтов кода, чтобы заставить пользователя запустить Activator. На одном из снимков экрана показано, как хакер внедрил вредоносное ПО в пиратскую версию утилиты xScope для macOS.
После установки вредоносное ПО начинает проверять наличие кошельков Bitcoin и Exodus. Если они обнаруживаются, вредоносное ПО тайно заменяет кошелек на зараженную версию, чтобы украсть криптовалюту пользователя.