| 22 апр 2026 — 9:07 am PT
После эксклюзивного раскрытия деталей для 9to5Mac в сентябре прошлого года о ModStealer, кроссплатформенной программе для кражи информации, невидимой для всех основных антивирусных программ на тот момент, Mosyle, лидер в области управления и безопасности устройств Apple, снова сообщила о двух новых угрозах для macOS, которые полностью находятся вне поля зрения.
В новых деталях, снова предоставленных 9to5Mac, команда исследователей безопасности Mosyle заявила, что выявила два ранее необнаруженных образца: Phoenix Worm, кроссплатформенный загрузчик, и ShadeStager, модульный имплант для macOS, разработанный для кражи учетных данных. Эти два образца не связаны напрямую по принципу работы, но вместе демонстрируют, насколько изощренным становится вредоносное ПО для Mac.
Время появления этих угроз соответствует тому, что наблюдает вся отрасль. Как я сообщал ранее, программы для кражи информации и трояны, такие как Atomic Stealer, были основной историей вредоносного ПО на Mac за последний год, при этом злоумышленники отказываются от шумных атак типа «налетай и грабь» в пользу удержания позиций. Phoenix Worm и ShadeStager именно такие.
Phoenix Worm, скрытный загрузчик
Вопреки своему названию, Phoenix Worm является именно загрузчиком. Это многоплатформенное вредоносное ПО на основе Golang, созданное для работы в качестве загрузчика. Загрузчики — это, по сути, легкие начальные полезные нагрузки, которые обеспечивают постоянство присутствия и подготавливают почву для второй волны атак. Вместо того чтобы сразу выгружать полный полезный груз, он сначала тихо создает плацдарм. У этого есть много преимуществ.
По данным Mosyle, основная функциональность Phoenix Worm включает:
- Установление связи с удаленным сервером управления и контроля (C2)
- Генерацию уникальных идентификаторов для зараженных систем
- Передачу данных системы злоумышленникам
- Поддержку удаленных обновлений и выполнения дополнительных полезных нагрузок
Phoenix Worm также не выглядит как самостоятельная угроза, сообщила Mosyle 9to5Mac. Его дизайн убедительно свидетельствует о том, что он является частью более широкого набора инструментов, предназначенного для передачи управления более продвинутым полезным нагрузкам дальше по цепочке атаки.
На момент анализа ни один антивирусный движок не обнаружил варианты для macOS или Linux, лишь ограниченное обнаружение было на Windows.
ShadeStager, разработанный для кражи учетных данных
ShadeStager работает как инструмент пост-эксплуатации, предназначенный для извлечения ценных данных из уже скомпрометированных систем. Хотя это может показаться идеальной сопутствующей атакой для Phoenix Worm, Mosyle утверждает, что они не связаны.
На самом деле, ShadeStager, похоже, нацелен на среды разработчиков и облачную инфраструктуру. Он специально ориентируется на:
- SSH-ключи и известные хосты
- Облачные учетные данные из AWS, Azure и GCP
- Файлы конфигурации Kubernetes
- Данные аутентификации Git и Docker
- Полные профили браузеров во всех основных браузерах
Согласно Mosyle, он также проводит обширную разведку на хосте, извлекая информацию о пользователе и привилегиях, сведения об ОС и оборудовании, сетевую конфигурацию и переменные среды, связанные с облачными сессиями и SSH-сессиями. Все структурируется и передается через HTTPS, с поддержкой выполнения команд, эксфильтрации данных и загрузки файлов.
Интересно, что ShadeStager не содержит жестко закодированного адреса C2, а части кода вредоносного ПО были доступны исследователям Mosyle без необходимости проводить дополнительную работу по обратному инжинирингу двоичных файлов. Это убедительно свидетельствует о том, что образец вредоносного ПО фактически находился в стадии разработки на момент обнаружения.
TL;DR (Кратко)
Phoenix Worm и ShadeStager не связаны, но они построены на той же модели атаки, которую мы видим все чаще. Один обеспечивает доступ, другой извлекает учетные данные и облачные токены, и ни один из них не был обнаружен ни одним антивирусным движком на момент обнаружения.
Это направление, в котором движется вредоносное ПО для Mac в 2026 году. Злоумышленники пишут на Go и Rust для кроссплатформенной совместимости, используют модульные полезные нагрузки, которые разделяют начальный доступ и пост-эксплуатацию, и настраивают инфраструктуру C2 динамически, чтобы ничего статичного не соответствовало сигнатуре. Самый простой пример, который я могу привести, — это Atomic Stealer, который, несомненно, становится самым популярным и вызывающим беспокойство вредоносным ПО. Он и его варианты действуют таким образом уже некоторое время, и этот подход, по-видимому, появляется и в несвязанных образцах.
Антивирусное ПО на основе сигнатур больше не достаточно. Поведенческое обнаружение и видимость в реальном времени должны быть стандартом для администраторов и групп безопасности, защищающих среды macOS сегодня.
Индикаторы компрометации
Для администраторов Mac, желающих добавить эти угрозы в свои инструменты безопасности, Mosyle предоставила следующие хеши SHA256:
- ShadeStager: 7e8003bee92832b695feb7ae86967e13a859bdac4638fa76586b9202df3d0156
- Phoenix Worm: 54ef0c8d7e167053b711853057e3680d94a2130e922cf3c717adf7974888cad2
Следите за Arin Waichulis: LinkedIn, Threads, X
Подпишитесь на подкаст 9to5Mac Security Bite Podcast для двухнедельных углубленных анализов и интервью с ведущими исследователями и экспертами по безопасности Apple: