Киберпреступные группировки развернули масштабную мошенническую кампанию против владельцев компьютеров Apple. Злоумышленники используют поддельный сайт популярной утилиты CleanMyMac для распространения продвинутого вредоносного программного обеспечения, способного похищать криптовалюту и конфиденциальные данные пользователей.

Долгое время Mac считался более безопасной альтернативой Windows, однако эта иллюзия безопасности постепенно развеивается. Как отмечают эксперты, повышенная защищённость Mac объяснялась не техническим превосходством операционной системы, а лишь меньшей популярностью платформы среди пользователей.

Механизм атаки: как работает вредонос

Первым о новой угрозе сообщила компания Malwarebytes, обнаружившая вредоносную кампанию в интернете. Киберпреступники создали фишинговые сайты, имитирующие официальный ресурс CleanMyMac — доверенного программного обеспечения для оптимизации macOS.

Распространение вредоносного ПО осуществляется преимущественно через злонамеренные рекламные кампании. Для установки «программы» пользователям предлагается открыть терминал и выполнить определённую команду.

После запуска команды вредоносное ПО устанавливается с использованием техники ClickFixing — метода, активно применяемого злоумышленниками для атак на пользователей macOS. Команда в терминале создаёт иллюзию загрузки программы из доверенного источника, в то время как на самом деле происходит декодирование ссылки на вредоносный сервер. Оттуда загружается и выполняется shell-скрипт, заражающий систему пользователя.

Возможности вредоносного ПО SHub Stealer

Вредоносная программа под названием SHub Stealer представляет собой многофункциональный инструмент для хищения данных. Она автоматически обнаруживает и похищает широкий спектр ценной информации:

• Apple Keychain — хранилище всех паролей пользователя
• Данные браузеров — включая сохранённые сессии
• Сессии Telegram — позволяющие получить доступ к мессенджеру
• Файлы криптовалютных кошельков и seed-фразы для восстановления

SHub производит систематический поиск ценных данных на заражённом устройстве, выявляя всё, что может представлять интерес для злоумышленников.

Географическое ограничение: почему российские пользователи в безопасности

Перед установкой вредоносного компонента программа проверяет систему на наличие русского языка или раскладки клавиатуры. При обнаружении российских региональных настроек вредонос отправляет на сервер злоумышленников событие «cis_blocked» и прекращает работу.

По мнению экспертов, такая тактика характерна для русскоязычных киберпреступных групп, стремящихся избежать внимания правоохранительных органов в странах СНГ.

Выводы: конец мифа о безопасности Mac

Ситуация наглядно демонстрирует, что эпоха, когда вредоносное ПО было редкостью, осталась в прошлом. Крупные технологические корпорации зачастую применяют недостаточно строгие проверки, в результате чего вредоносные программы занимают верхние позиции в результатах поиска популярных поисковых систем.

Данный инцидент ставит точку в дискуссии о якобы большей безопасности компьютеров Apple. Пользователи Mac, ранее считавшие себя защищёнными от киберугроз, могут стать более беспечными в вопросах безопасности — а это именно то, на что рассчитывают злоумышленники.

Для защиты от подобных угроз эксперты рекомендуют:

• Загружать программное обеспечение только с официальных сайтов
• Не выполнять команды в терминале по инструкциям с неизвестных сайтов
• Использовать надёжные антивирусные решения
• Хранить криптовалюту в аппаратных кошельках
• Регулярно проверять систему на наличие вредоносного ПО