Постоянно сме свидетели на нови хакерски атаки, които заплашват дигиталното ни ежедневие. Разбира се те невинаги стигат до новините, но когато става дума за атака срещу Mac си заслужава да отделим внимание, тъй като тези случаи не са особено много.

Сега става дума за нов тип зловреден софтуер, който се маскира като кракове за CleanMyMac или Photoshop, като краде данни от браузери и източва портфейли с криптовалута. По данни на Moonlock Lab, решението често се показва и като легитимни приложения. След инсталацията зловредният код може да използва AppleScript, за да подмами потребителите да разкрият паролите си, извлича бисквитки от браузери като Chrome и Safari, а освен това се самоунищожава ако засече, че е инсталиран на виртуална машина.

Всичко започва с извличането на актуалното потребителско име от системата, както и на други системни пътища, които могат да бъдат използвани в последствие. След това скриптът създава временна папка, в която да съхранява откраднатите данни преди да ги изпрати.

Браузери като Chrome и Safari могат да бъдат използвани за извличане на чувствителни потребителски данни като история на браузинг, бисквитки и съхранени пароли. Друга функция на скрипта е способността за откриване и достъп до популярни портфейли за криптовалути. Той може да краде файлове от портфейли, а така потенциално хакерите могат да получат достъп до съхранените токени.

Портфейлите, които са обект на атаки са Electrum, Coinomi, Exodus, Atomic Wallet, Wasabi Wallet, Ledger Live, Feather (Monero), Bitcoin Core, Litecoin Core, Dash Core, Electrum-LTC, Electron Cash, Guarda Wallet, Dogecoin Core, Binance и TonKeeper. В последствие скриптът копира файла login.keychain-db, който съдържа данни като пароли и потребителски имена. Извличат се и данни от Apple Notes, копирайки NoteStore.sqlite и свързани файлове.

Процесът по заразяване започва когато потребителят посети сайт с пиратски софтуер и изтегли файл наречен CleanMyMacCrack.dmg. Зловредният код е вариант на Atomic Stealer, открит през 2023 г., като оттогава е еволюирал и по-труден за откриване. Той остава скрит, използвайки скриптове докато краде чувствителни данни.

Имайки предвид тези заплахи, потребителите с Mac трябва да предприемат проактивни стъпки, за да се защитят. Това включва изтегляне на софтуер само от легитимни източници, проверка на URL за знаци на нередности и т.н. Препоръчва се също регулярно обновление на macOS и избягване на кликвания върху подозрителни линкове и изтегляне на такива прикачени файлове.