Security Bite: Mac.c переворачивает рынок инфостилеров для macOS, бросая вызов AMOS"
to5Mac Security Bite эксклюзивно представлен вам Mosyle — единственной унифицированной платформой для Apple.
Мы делаем устройства Apple работающими… С момента своего появления в 2023 году AMOS стал самым известным инфостилером, нацеленным на экосистему Apple.
Это вредоносное ПО, предназначенное для незаметного сбора конфиденциальных данных с систем macOS, хорошо знакомо исследователям безопасности, журналистам и, возможно, даже жертвам.
Но теперь Moonlock, подразделение кибербезопасности компании MacPaw, сообщает, что отслеживает нового злоумышленника, чей инфостилер набирает популярность в скрытых уголках даркнет-форумов.
В сегодняшнем выпуске Security Bite мы расскажем об этой новой угрозе и о том, как она меняет ландшафт безопасности macOS. ### Новый игрок на сцене: mentalpositive и его Mac.c Предполагается, что разработчик нового вредоносного ПО, действующий под псевдонимом mentalpositive, имеет российское происхождение.
Его продукт — инфостилер Mac.c — активно распространяется в сети.
Хотя mentalpositive появился всего около четырех месяцев назад, его деятельность уже привлекает внимание.
Необычная для мира вредоносного ПО открытость mentalpositive вызывает интерес.
Разработчик публично делится прогрессом, запрашивает отзывы о предыдущих версиях Mac.c и даже обсуждает планы развития.
Такая тактика, по мнению экспертов, может свидетельствовать о желании закрепиться на рынке и создать уникальный сервис по модели stealer-as-a-service, ориентированный исключительно на macOS. ### Технические особенности Mac.c На техническом уровне Mac.c демонстрирует сходство с AMOS и Rodrigo4, но оптимизирован для быстрого и масштабного хищения данных.
Уменьшенный размер бинарного файла ускоряет загрузку и снижает количество статических артефактов, что усложняет обнаружение.
Кроме того, с каждым обновлением в код добавляются новые URL-адреса, что указывает на развитую командную инфраструктуру, вероятно, связанную с более крупной операцией. Moonlock отмечает: > «Такая публичность может быть частью стратегии по завоеванию доли рынка.
Кроме того, mentalpositive, судя по всему, готовит почву для бизнес-модели, где инфостилер будет предлагаться как услуга, ориентированная исключительно на macOS». ### Удобство для злоумышленников: веб-интерфейс и обновления Разработчик пошел еще дальше, предложив веб-интерфейс для покупателей Mac.c.
Через эту панель клиенты могут: - Генерировать кастомные сборки стилера, - Отслеживать статистику заражений, - Управлять параметрами своих кампаний. Moonlock также сообщает: > «Последнее обновление, опубликованное на момент написания, включает обход XProtect за счет уникальных сборок, расширенный список поддерживаемых браузеров и активацию функции захвата файлов». ### Почему macOS становится мишенью?
Хотя рынок вредоносного ПО для macOS пока уступает Windows по масштабам, его популярность среди киберпреступников растет.
Причина проста: увеличение доли Mac.
Согласно данным Canalys, в последнем квартале прошлого года поставки Mac в США выросли на 25,9% в годовом исчислении, обогнав всех производителей ПК.
Доля Apple на мировом рынке компьютеров достигла 17,1%, что делает macOS все более привлекательной целью для злоумышленников.
Вывод**: инфостилеры вроде Mac.c — лишь начало.
С ростом пользовательской базы Apple атаки на macOS будут становиться все изощреннее.