Вредоносное ПО MacSync
MacSync — это переименованный и улучшенный вариант стилера mac.c, впервые появившегося весной 2025 года. Всего месяц спустя вредоносная программа вновь появилась под новым названием. Сохраняя возможности кражи данных своего предшественника, MacSync добавляет дополнительный бэкдор. Примечательно, что оригинальный стилер был разработан на языке C, а модуль бэкдора — на Go, что подчёркивает переход к модульной и более сложной структуре.
Оглавление
Глобальное распространение через мошенничество ClickFix
MacSync был обнаружен по всему миру, при этом заражения были сосредоточены в Украине, США, Германии, Великобритании и Испании. Вредоносное ПО распространяется преимущественно через мошеннические схемы ClickFix, которые обманным путём заставляют жертв выполнять вредоносные команды на их системах. После запуска MacSync начинает процесс заражения, отображая поддельный запрос пароля, пытаясь получить учётные данные устройства.
Двойная функциональность: кража данных и удаленное управление
Получив доступ, MacSync разворачивает свой бэкдор на Go. Этот компонент подключается к командному серверу (C&C), позволяя злоумышленникам удалённо выполнять команды. Одновременно с этим модуль для кражи данных собирает конфиденциальную информацию, такую как:
- Личные файлы
- Учетные данные для входа
- Криптовалютные кошельки
Чтобы избежать обнаружения и затруднить анализ, MacSync использует обфускацию кода и стирает временные файлы, связанные со своими операциями.
Назначение модуля бэкдора
Бэкдоры предназначены для предоставления киберпреступникам скрытого доступа к скомпрометированным системам. Бэкдор MacSync не только облегчает удалённое выполнение команд, но и оставляет возможность для дополнительных вредоносных модулей. Такой модульный подход значительно увеличивает потенциал вредоносного ПО для расширения его возможностей и дальнейшего взлома заражённых систем.
Распространение за пределами ClickFix
Хотя мошенничество ClickFix, связанное с Cloudflare, остаётся основным каналом распространения, исследователи предупреждают, что MacSync может распространяться несколькими способами. Киберпреступники часто прибегают к фишингу и социальной инженерии, чтобы маскировать вредоносное ПО под легитимные файлы или приложения.
К наиболее распространенным методам заражения относятся:
- Интернет-мошенничество, вредоносная реклама и обманные загрузки
- Подозрительные сайты с бесплатным программным обеспечением, сторонние источники загрузки и P2P-сети
- Вредоносные ссылки или вложения в спам-сообщениях
- Поддельные обновления и нелегальная активация программного обеспечения («кряки»)
- Распространение через локальные сети и съемные носители (USB-накопители, внешние жесткие диски и т. д.)
Заключительные мысли
MacSync представляет собой значительный шаг вперёд по сравнению со своим предшественником mac.c, сочетая операции по краже данных с функциями бэкдора. Модульная структура и широкое распространение делают его особенно опасным. Пользователям следует быть бдительными к фишинговым кампаниям, подозрительным загрузкам и поддельным запросам на обновление, поскольку они остаются основными каналами проникновения этого вредоносного ПО.
