Специалисты Intego Antivirus Labs обнаружили новую кампанию социальной инженерии против пользователей macOS под названием Matryoshka. Атака ориентирована на владельцев криптокошельков и использует многоуровневую обфускацию вредоносного кода, сообщает Anti-Malware.
Сценарий строится на тайпсквоттинге — пользователь допускает опечатку в адресе сайта и попадает на домен, контролируемый злоумышленниками. Далее через систему распределения трафика (TDS) жертва перенаправляется на страницу с фальшивым сообщением об ошибке и предложением исправить проблему с помощью команды в «Терминале».
Фактически пользователь самостоятельно запускает вредоносный скрипт. По данным исследователей, код распаковывается непосредственно в оперативной памяти устройства, что усложняет его обнаружение антивирусными решениями и автоматическими песочницами.
После активации вирус вмешивается в работу приложений для аппаратных криптокошельков. В случае с Trezor Suite предпринимаются попытки завершения процесса и замены программы на модифицированную версию. В отношении Ledger Live применяется более скрытая тактика — подмена внутренних файлов легитимного приложения с внедрением бэкдора.
После компрометации пользователю демонстрируется ложное уведомление о несовместимости приложения с системой, чтобы снизить подозрения и выиграть время для вывода средств.
Атака не использует сложных эксплойтов и опирается на невнимательность пользователя. Эксперты подчеркивают: вводить команды в «Терминал» следует только из проверенных источников, особенно если переход на сайт произошел по случайной ссылке или из-за опечатки в адресе.
Ранее сообщалось, что более 260 тысяч пользователей установили зараженные ИИ-расширения.