AppleProcessHub: новый macOS-троян крадёт SSH-ключи и данные из Keychain
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

AppleProcessHub: новый macOS-троян крадёт SSH-ключи и данные из Keychain

Екатерина Быстрова 27 Мая 2025 - 12:17
...
AppleProcessHub: новый macOS-троян крадёт SSH-ключи и данные из Keychain

AppleProcessHub — новый вредонос для macOS, попавший на радары исследователей 15 мая 2025 года. Поводом стала подозрительная библиотека libsystd.dylib. Формально это динамическая библиотека, а на деле — полноценный бинарник Mach-O на Objective-C с целой кучей сюрпризов внутри.

По словам Кристофера Лопеса, старшего исследователя по безопасности macOS из Kandji, вредонос специально заточен под кражу конфиденциальных данных:

  • истории команд терминала (.bash_history, .zsh_history),
  • SSH-ключей и конфигов,
  • файла gitconfig,
  • содержимого Keychain (Login.keychain-db),
  • даже системных настроек вроде /etc/hosts.

Что это значит на практике? Злоумышленники получают всё: токены, пароли, приватные ключи, IP-адреса внутренних ресурсов. То есть — не просто утечка данных, а потенциальный входной билет в корпоративную сеть.

Хотя файл замаскирован под .dylib, по сути он запускается как обычное приложение: стартует с функции _start(), далее вызывает [Task ccsys] и уже оттуда тянет второй этап заражения. Всё это аккуратно завернуто в механизмы Grand Central Dispatch и кучу непрямых вызовов, усложняющих анализ.

Самое интересное — как устроен обмен с C2-сервером. В теле вредоноса лежат base64-строки, зашифрованные через AES-128 (ECB) со статичным ключом CMKD378491212qwe.

Эти строки расшифровываются методом des12Decry:, после чего malware получает ссылку на команду от сервера:

https://www.appleprocesshub[.]com/v1/resource

Если сервер активен и возвращает скрипт — например, fSidEOWW.sh, — он запускается через NSTask с обычной командой /bin/sh -c. Скрипт собирает нужные данные, упаковывает их и отгружает обратно атакующим.

Интересный факт: в момент анализа домен управления был недоступен. Но архитектура у дроппера модульная, так что легко может подцепить другую полезную нагрузку с нового адреса.

На VirusTotal файл сначала засветился всего с двумя детектами — ещё одно подтверждение его скрытности. А использование нативных API macOS, “чистого” Objective-C и AES делает анализ и обнаружение гораздо сложнее.

Так что да, AppleProcessHub — серьёзный звоночек. Особенно для разработчиков, инженеров и небольших команд: malware явно нацелен на dev-среду.

Следующая главная новость »
AM LiveКоммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Яндекс Pay перестал работать у части пользователей IPv6
Екатерина Быстрова 15 Апреля 2026 - 21:54
Домашние пользователиКорпорации Персональный VPNАнонимайзерыСистемы контентной веб-фильтрации Яндекс
Яндекс Pay перестал работать у части пользователей IPv6

Пользователи начали замечать странное поведение приложения Яндекс Pay — оно может отказывать в работе тем, кто выходит в интернет через IPv6, особенно если используется 6in4-туннель (например, Hurricane Electric).

На проблему обратил внимание пользователь «Хабра» с ником po3dno. По его словам, это проявляется следующим образом: если открыть pay.yandex.ru в браузере, сервис работает нормально: определяется IPv4-адрес, и личный кабинет доступен без ограничений.

А вот в мобильном приложении ситуация другая. Оно, как утверждается, делает запросы по IPv6, определяет адрес как «не российский» — и на этом всё: доступ блокируется.

Получается парадоксальная ситуация: один и тот же пользователь с одного устройства может пользоваться сервисом через браузер, но не может через официальное приложение.

Судя по описанию, проблема связана именно с особенностями определения геолокации по IPv6. В случае с туннелями вроде 6in4 трафик может выходить через зарубежные точки, из-за чего сервис воспринимает пользователя как находящегося вне России.

Официальных комментариев от Яндекса на момент появления жалоб не было. Пока же для пользователей с IPv6 единственным рабочим вариантом остаётся доступ через браузер либо отключение туннеля.

Напомним, вчера мы писали, что у части российских пользователей с включёнными средствами обхода блокировок (VPN) перестали частично открываться или вовсе работать сайты и приложения крупных российских платформ, включая «Яндекс», VK, маркетплейсы и банковские сервисы.

AM LiveКоммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!
Ваши данные могут пробить по звонку или ссылке через рекламные сервисы
Новость
Ваши данные могут пробить по звонку или ссылке через рекламн...
Атакующие мимикрируют под BI.ZONE, скрывая SSH-бэкдоры в Windows
Новость
Атакующие мимикрируют под BI.ZONE, скрывая SSH-бэкдоры в Win...
В сервисах Яндекса произошел массовый сбой
Новость
В сервисах Яндекса произошел массовый сбой

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.