На даркнет-форумах появился новый троян для macOS под названием Mac.c. Он был представлен хакером с ником mentalpositive и начал стремительно конкурировать с более дорогим и технически сложным вредоносом AMOS. Разработка велась открыто, т. к. автор регулярно выкладывал обновления, показывал скриншоты и даже записывал видеодемонстрации функционала.
Это привлекло внимание заинтересованных покупателей, в особенности среди менее опытных злоумышленников, которым недоступны дорогие инструменты уровня AMOS.
Mac.c создавался как облегчённая, но эффективная альтернатива. Основной упор сделан на быстрое и скрытное похищение данных — от содержимого iCloud Keychain и сохранённых браузером паролей до криптовалютныхкошельков и файлов из системных директорий.
В отличие от многих «шумных» троянов, Mac.c использует встроенные механизмы macOS, в том числе AppleScript и API Apple, маскируясь под легитимные процессы и обходя антивирусные решения. Он способен генерировать уникальные сборки для обхода XProtect, запускать удалённое извлечение файлов и выполнять фишинг seed-фраз от Trezor с помощью встроенного модуля.
Большая часть внимания уделена удобству операторов: в панели управления можно отслеживать статистику по заражённым устройствам, настраивать сборки под конкретные задачи, быстро реагировать на изменения в инфраструктуре. Позже в систему добавили маскировку под приложение Ledger Live, уменьшили размер исполняемых файлов и усложнили обнаружение при статическом анализе.
Всё это сделало Mac.c привлекательным для широкого круга злоумышленников, в том числе трафферов — распространителей вредоносных программ через фишинг, загрузчики и рекламные кампании.
Подписка на Mac.c обходится в $1500 в месяц, что делает его вдвое дешевле AMOS. Дополнительный модуль для атак на Trezor продаётся отдельно — за $1000. Такая ценовая модель делает Mac.c доступным даже для новичков, способствуя распространению угрозы. Аналитики Moonlock Lab подтвердили подлинность и работоспособность вредоноса, обнаружив его копии у пользователей CleanMyMac.
Основной способ распространения — заражённые установочные образы с названиями Installer.dmg или, например, «Installer descrakeador adobe.dmg». Жертвы скачивают подобные файлы в поисках взломанных версий программ и запускают их без подозрений, что запускает вредоносный сценарий.
Троян работает через методы социальной инженерии. Сначала активируется первый этап — сбор базовых сведений о системе. Затем с помощью AppleScript запускаются поддельные окна с запросами на ввод пароля. Эти данные сохраняются в открытом виде и используются при дальнейшем доступе к системе.
Помимо этого, Mac.c получает куки, логины, содержимое IndexedDB и другую информацию из популярных браузеров — Chrome, Edge, Brave и «Яндекс.Браузера». Поддержка Safari пока не реализована, но эксперты считают это вопросом времени.
Отдельная угроза связана с криптокошельками. Mac.cориентирован на кражу данных из MetaMask, Phantom, Binance Wallet, Electrum, Exodus, Atomic, Monero, Wasabi, Ledger Live и других. Присутствует и экзотический сценарий, к примеру, вредоносная программа, замаскированная под игру Innocent Witches, просит пользователя ввести пароль для сохранения прогресса. Это вводит жертву на поддельный сайт innocentwitches[.]top, где происходит фишинг данных кошельков.
Несмотря на то что AMOS по-прежнему остаётся более мощным и оснащённым трояном, именно Mac.c сейчас воспринимается как наиболее вероятный кандидат на массовое распространение в сегменте вредоносов для macOS. Его низкий порог входа, активное развитие и постоянные обновления делают его особенно опасным на фоне продолжающихся атак на пользователей криптовалютных активов.
В Moonlock Lab считают, что эта угроза будет только усиливаться и уже в ближайшие месяцы Mac.c может выйти на один уровень с самым узнаваемым вредоносомэкосистемы Apple.
Ещё по теме:
