Обнаружен новый инфокрад для macOS, нацеленный на кражу криптоданных и паролей
15 мая 2025 года исследовательская группа MalwareHunterTeam выявила новый тип вредоносного ПО для macOS с файлом libsystd.dylib, классифицированным как инфокрад. Несмотря на низкие первоначальные показатели обнаружения, что указывало на новизну или ограниченное распространение, данный инфокрад представляет серьезную угрозу для пользователей и организаций.
Цели и механизмы атаки
Основной задачей инфокрада является кража конфиденциальных данных, включая пароли из связок ключей (keychains) и криптовалютные кошельки. Вредоносное ПО удаляет важные пользовательские файлы, среди которых:
- истории команд оболочек bash_history и zsh_history;
- конфигурационные файлы GitHub (gitconfig);
- данные SSH;
- файлы из цепочки ключей (login.keychain-db).
Собранная информация загружается на управляющий сервер (C2) по адресу appleprocesshub.com. Получение доступа к этим данным позволяет злоумышленникам выяснить IP-адреса, доменные имена и внутренние пути, что значительно повышает риски безопасности организации.
Технический анализ вредоносного ПО
Вредоносная программа работает через запуск bash-скрипта второго этапа, который вызывается из Mach-O двоичного файла, написанного на Objective-C. Скрипт предназначен для кражи данных и отправки их обратно на C2-сервер.
Особое внимание уделено криптографическим механизмам: для защиты передаваемых данных используется функция CCCrypt() с алгоритмом AES-128 в режиме ECB. При этом вектор инициализации был установлен в ноль, что делает шифрование уязвимым к расшифровке. Это подтвердили исследователи, разработавшие простой скрипт на Python для обратного расшифрования.
Кроме того, вредоносное ПО способно выполнять произвольные скрипты, получаемые с сервера управления. В одном из зафиксированных случаев был выполнен скрипт fSidEOWW.sh, нацеленный на указанные конфиденциальные файлы.
Сложности анализа и особенности реализации
Mach-O двоичный файл использует Grand Central Dispatch для организации многопоточности и косвенные вызовы функций, что усложняет статический анализ. Несмотря на то, что на момент расследования сервер C2 был неактивен, программа сохранила способность загружать и выполнять другие скрипты, указывая на наличие скрытых механизмов или универсальный дизайн.
Выводы и рекомендации
Обнаружение этого инфокрада демонстрирует сложное сочетание тактических приемов и технических решений, направленных на обход систем безопасности macOS. Данный случай подчеркивает важность:
- регулярного обновления антивирусных баз и систем защиты, даже при низких показателях обнаружения;
- внедрения многоуровневой защиты конфиденциальных данных;
- мониторинга активности сетевых соединений на наличие подозрительных обращений к неизвестным C2-серверам;
- исследования и анализа новых угроз экспертами в области кибербезопасности.
Этот инцидент служит предупреждением для пользователей macOS и организаций о растущих рисках, связанных с целенаправленными кражами информации и уязвимостями в современных системах.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новый инфокрад для macOS: подробный анализ вредоносного файла libsystd.dylib".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.