| 11 сентября 2025 г. — 10:42 PT
После того как в прошлом месяце предупредила 9to5Mac о вредоносном ПО для Mac, не детектируемом антивирусами и скрывающемся на сайте с поддельным конвертером PDF, компания Mosyle, лидер в области управления и безопасности устройств Apple, обнаружила новый инфостилер. Получивший название ModStealer, этот вредоносный код оставался невидимым для всех основных антивирусных программ с момента своего первого появления на VirusTotal почти месяц назад.
В деталях, предоставленных эксклюзивно 9to5Mac, Mosyle сообщает, что ModStealer нацелен не только на системы macOS, но и является кроссплатформенным и разработан с одной целью: кража данных.
Согласно анализу Mosyle, ModStealer доставляется жертвам через вредоносную рекламу рекрутеров, нацеленную на разработчиков. Он использует сильно обфусцированный JavaScript-файл, написанный с помощью NodeJS, который остается полностью необнаружимым для сигнатурных защит. И он нацелен не только на пользователей Mac; под угрозой также находятся среды Windows и Linux.
Основная цель вредоносного ПО — извлечение данных, с особым акцентом на криптовалютные кошельки, файлы учетных данных, конфигурационные детали и сертификаты. Mosyle обнаружила предустановленный код, нацеленный на 56 различных расширений браузерных кошельков, включая Safari, предназначенный для извлечения приватных ключей и конфиденциальной информации об учетных записях.
Исследователи компании также обнаружили, что ModStealer способен перехватывать содержимое буфера обмена, делать снимки экрана и выполнять удаленный код. Первые два варианта неприятны, но последний может дать злоумышленникам почти полный контроль над зараженными устройствами.
Что делает это открытие столь тревожным, так это скрытность, с которой работает ModStealer.
В macOS вредоносное ПО обеспечивает постоянство или долгосрочное незаметное присутствие на Mac жертвы, злоупотребляя собственным инструментом Apple launchctl, встраиваясь как LaunchAgent. Оттуда он незаметно отслеживает активность и извлекает конфиденциальную информацию на удаленный сервер. Исследователи Mosyle говорят, что сервер, на котором хранятся украденные данные, предположительно находится в Финляндии, но связан с инфраструктурой в Германии, вероятно, для маскировки реального местоположения операторов.
Mosyle считает, что ModStealer соответствует профилю «Malware-as-a-Service» (MaaS). Это когда разработчики вредоносного ПО создают и продают вредоносные пакеты аффилиатам — тем, у кого мало технических навыков. Аффилиаты получают готовое вредоносное ПО и могут направлять его куда угодно.
Эта бизнес-модель становится все более популярной среди киберпреступных группировок, особенно при распространении инфостилеров, подобных ModStealer. Ранее в этом году Jamf сообщила о 28%-ном росте инфостилерного вредоносного ПО, что сделало его ведущим семейством вредоносных программ для Mac в 2025 году.
«Для специалистов по безопасности, разработчиков и конечных пользователей это служит суровым напоминанием о том, что одних только сигнатурных защит недостаточно. Непрерывный мониторинг, поведенческая защита и осведомленность о новых угрозах необходимы, чтобы оставаться на шаг впереди противников», — предупреждает Mosyle.
Индикаторы компрометации:
- Хеш SHA256: 8195148d1f697539e206a3db1018d3f2d6daf61a207c71a93ec659697d219e84
- Имя файла: .sysupdater[.]dat
- IP-адрес C2-сервера: 95.217.121[.]184