Восемь новых семейств вредоносов для macOS появились в 2021 году

Олег Иванов 08 Января 2022 - 17:00

Домашние пользователи

...

В 2021 году на ландшафте киберугроз появились восемь новых семейств вредоносных программ, заточенных под операционную систему macOS. Такой статистикой поделился Патрик Уордл, специализирующийся на кибербезопасности «яблочной» десктопной ОС.

Вот эти восемь новичков: ElectroRAT, SilverSparrow, XcodeSpy, ElectrumStealer, WildPressure, XLoader, ZuRu и CDDS (другое имя — MacMa). Уордл опубликовал в блоге информацию по каждому из перечисленных вредоносов и даже выложил семплы зловредов, чтобы другие исследователи тоже смогли их «пощупать».

ElectroRAT — кросс-платформенный троян, появившийся в самом начале 2021 года и обеспечивающий операторам удалённый доступ к компьютеру жертвы. Его задача — украсть криптовалюту пользователей. Этот вредонос распространяется с помощью аналогичного софта и способен снимать скриншоты, записывать нажатия клавиш, загружать и выгружать файлы и выполнять команды.

SilverSparrow обнаружили в феврале. Несмотря на то что вредонос прямо или косвенно затронул около 30 тыс. устройств на macOS, он до сих пор остаётся достаточно странным зловредом, поскольку эксперты не понимают, как он распространяется.

XcodeSpy появился в марте и был изначально нацелен на разработчиков софта. Вредонос попадает на устройства жертв с помощью злонамеренных проектов Xcode, а после устанавливает бэкдор EggShell.

ElectrumStealer тоже был зафиксирован в марте, он также охотится на криптовалютные кошельки пользователей. С этой вредоносной программой связан интересный момент — Apple случайно «легитимизировала» ElectrumStealer.

WildPressure возник на ландшафте в июле и уже тогда атаковал промышленные предприятия на Среднем Востоке. Операторы WildPressure стартовали свои кампании в мае 2019-го, однако на тот момент они специализировались преимущественно на Windows.

XLoader — ещё один кросс-платформенный вредонос в подборке Уордла. По словам специалистов, это macOS-версия зловреда Formbook и его основная цель — воровать пароли.

ZuRu отметился в сентябре на территории Китая. Злоумышленники распространяют этот вредонос через поисковую выдачу Baidu. ZuRu демонстрирует навязчивую рекламу и доставляет на компьютер жертвы дополнительные трояны.

CDDS (MacMa) — последний зловред из списка, на него вышли эксперты Google. Хорошо подготовленная киберпреступная группировка использовала уязвимость нулевого дня в macOS для доставки CDDS гражданам Гонконга.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Яков Шпунт 21 Января 2026 - 11:03

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи Angara Security

Злоумышленники освоили новую технику кражи данных с Госуслуг

Злоумышленники освоили новую схему «угона» учётных записей на портале «Госуслуги». Для этого они используют телеграм-ботов, маскирующихся под реферальные программы известных маркетплейсов. Ссылки на такие «партнёрские сервисы» распространяются через мессенджеры и социальные сети.

О новой атаке сообщило РИА Новости со ссылкой на компанию Angara Security. По данным экспертов, для кражи учётных данных «Госуслуг» злоумышленники задействуют телеграм-ботов, которые якобы автоматизируют работу с реферальными программами торговых площадок.

Такие боты предлагают пользователям поучаствовать в «партнёрских программах» популярных маркетплейсов — с обещаниями заработка, бонусов или уведомлений об акциях. В названиях и описаниях используются слова ref, referral, service, упоминания реальных брендов, а также ссылки на настоящие сайты торговых площадок.

Для участия в программе бот требует пройти авторизацию через «Госуслуги», утверждая, что только так можно получить доступ ко всем функциям. При этом открывается встроенное мини-приложение, которое с высокой точностью копирует страницу входа на портал.

Адрес страницы не отображается, поэтому пользователь не может проверить её подлинность. Введённые логин и пароль сразу же попадают к злоумышленникам, что позволяет им перехватить доступ к аккаунту.

«Это технически проработанная фишинговая атака, использующая особенности интерфейса Telegram. Мини-приложение практически идеально имитирует официальный сервис, а отсутствие адресной строки лишает пользователя основного способа проверить подлинность страницы. Получив доступ к учётной записи „Госуслуг“, злоумышленники могут совершать мошеннические действия от имени гражданина — в том числе пытаться оформить кредиты или получить доступ к связанным сервисам», — предупреждает руководитель группы киберразведки Angara MTDR Иван Захаров.

В Angara Security рекомендуют не вводить персональные и иные конфиденциальные данные на страницах, ссылки на которые получены из непроверенных источников — в том числе из сообщений от незнакомых пользователей.

На прошлой неделе компания уже предупреждала о похожей схеме. В том случае злоумышленники действовали от имени региональных властей и организаций, работающих в сфере ЖКХ.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »