Содержание
На macOS появилась убедительная подделка CleanMyMac: фейковый сайт уговаривает пользователя вставить команду в Терминал, после чего на Mac ставится инфостилер, нацеленный в том числе на криптокошельки.
Как устроена атака с поддельным CleanMyMac
Исследователи Malwarebytes описали кампанию, где злоумышленники не ломают систему уязвимостью, а подводят человека к установке вредоноса своими руками. Сценарий начинается с сайта-двойника, который копирует внешний вид легитимного сервиса.
Подделку разместили на домене cleanmymacos[.]org. Это легко спутать с настоящим продуктом от MacPaw, особенно если пользователь ищет «чистилку» через поиск и не смотрит на адресную строку.
Дальше включается классический прием ClickFix: вместо обычного установщика жертву просят открыть Терминал и вставить команду. Команда подтягивает полезную нагрузку с стороннего сервера и запускает установку.
Почему Gatekeeper и XProtect могут не спасти
Malwarebytes прямо указывает на проблему: когда пользователь сам выполняет команду в Терминале, системные барьеры вроде Gatekeeper, проверок notarization и XProtect «помогают меньше». Причина простая — действие выглядит добровольным, а не как запуск подозрительного .app, скачанного из ниоткуда.
Установленный таким способом вредонос называется SHub. Во время установки он запрашивает пароль macOS. И это критическая точка: процесс выглядит «по-взрослому», как будто так и надо, поэтому часть людей может не насторожиться.
Что именно крадет SHub и как закрепляется в системе
Получив пароль, SHub получает доступ к данным, которые обычно хранятся в защищенных хранилищах. В списке, который описали исследователи, фигурируют macOS Keychain, Wi‑Fi-учетные данные, токены приложений и другие приватные ключи.
- Пароли: включая данные из менеджеров и хранилищ
- Cookies и autofill: чтобы перехватывать сессии и входы без пароля
- Данные iCloud: учетные и связанные артефакты
- Расширения криптокошельков: для кражи криптоактивов
- Файлы сессий Telegram: для захвата аккаунта
На этом атака не заканчивается. По описанию Malwarebytes, SHub ставит backdoor второго этапа и даже подменяет некоторые приложения криптокошельков на модифицированные копии. Это дает устойчивость и открывает дорогу к повторным кражам позже.
Для закрепления в системе злоумышленники добавляют LaunchAgent, маскируя его под сервис обновлений Google. В результате атакующие получают возможность выполнять команды на зараженном Mac до тех пор, пока пользователь не найдет и не удалит механизм автозапуска.
В Malwarebytes резюмируют ситуацию так: «macOS is becoming a more attractive target, and the tools attackers use are becoming more capable and more professional» (macOS становится более привлекательной целью, а инструменты атакующих — более профессиональными).
Источники: Malwarebytes
