Похититель Миолаба
Miolab, также известный как Nova, — это продвинутый инструмент для кражи информации, специально разработанный для пользователей macOS. Распространяемый через хакерские форумы по модели «Вредоносное ПО как услуга» (MaaS), он позволяет киберпреступникам получить доступ к мощному набору инструментов без необходимости глубоких технических знаний. Вредоносная программа способна извлекать конфиденциальные данные из расширений криптовалютных кошельков, веб-браузеров и различных приложений управления, а также собирать файлы непосредственно из скомпрометированных систем. Немедленное удаление после обнаружения имеет решающее значение для минимизации ущерба.
Оглавление
Разработан для эффективности, создан для уклонения.
Miolab — это не просто программа для кражи данных; она интегрирует централизованную панель управления и инструменты управления атаками, что значительно повышает уровень угрозы. Эта инфраструктура позволяет даже неопытным злоумышленникам проводить сложные кампании. Ее облегченная и оптимизированная архитектура улучшает распространение, обеспечивает стабильную работу в различных средах macOS и помогает обходить традиционные механизмы обнаружения.
Управление и контроль: упрощенное управление атаками
Встроенная панель управления предоставляет злоумышленникам структурированный обзор скомпрометированных жертв, включая географические данные и собранную информацию. Она также включает в себя функциональность для повторного использования украденных сеансов аутентификации Google, что позволяет осуществлять несанкционированный доступ к учетным записям без запроса паролей или прямого обхода двухфакторной аутентификации.
Кроме того, Miolab поддерживает развертывание вредоносных страниц распространения и методы атак в стиле ClickFix. Операторы получают уведомления в режиме реального времени через Telegram и могут автоматизировать различные этапы своих кампаний, повышая операционную эффективность и масштабируемость.
Возможности извлечения данных из браузера и криптовалют
Miolab активно атакует данные, хранящиеся в браузере, извлекая учетные данные и информацию, связанную с сессиями, которые могут быть использованы для дальнейшего взлома. Его возможности распространяются как на популярные, так и на нишевые браузеры, значительно расширяя зону его воздействия.
- К конфиденциальным данным браузера относятся сохраненные пароли, файлы cookie, история просмотров и данные для автозаполнения, такие как адреса электронной почты и почтовые адреса.
- Также собираются такие элементы аутентификации, как токены Google и файлы cookie Safari.
В число целевых браузеров входят Chrome, Edge, Firefox, Arc, Brave, Librewolf, Opera, Opera GX, SeaMonkey, Tor Browser, Vivaldi, Waterfox, Yandex и Coc Coc. - Помимо браузеров, Miolab уделяет большое внимание криптовалютным активам, извлекая файлы, такие как .dat, .key и .keys, из более чем 200 расширений кошельков. Он также нацелен на приложения, используемые для управления аппаратными кошельками, что позволяет красть важные данные для восстановления.
- В число целевых криптоинструментов входят Atomic Wallet, Binance, Bitcoin, DashCore, Dogecoin, Electrum, Exodus, Guarda, Litecoin, Monero, Tonkeeper и Wasabi Wallet.
- Такие приложения, как Ledger Live, Ledger Wallet и Trezor Suite, специально предназначены для извлечения 24-словных ключевых фраз для восстановления доступа.
За пределами браузеров: обмен сообщениями и использование локальных данных.
Вредоносная программа распространяется на коммуникационные и офисные приложения. Она может перехватывать активные сессии на таких платформах, как Telegram и Discord, предоставляя злоумышленникам доступ к учетным записям без учетных данных. Она также проверяет заметки в Apple Notes, распространенном месте, где пользователи могут непреднамеренно хранить конфиденциальную информацию, такую как пароли или фразы восстановления криптовалюты.
После завершения сбора данных Miolab сжимает украденную информацию в ZIP-архив и передает ее по протоколу HTTP. Чтобы скрыть свою деятельность, приложение отображает обманчивое сообщение об ошибке macOS, указывающее на невозможность его запуска.
Последствия: реальная цена инфекции
Заражение Miolab может привести к серьезным последствиям. Жертвы могут понести финансовые потери из-за кражи криптовалюты, несанкционированного доступа к учетной записи, кражи личных данных, ущерба репутации, а также возможности дальнейшего заражения вредоносным ПО в результате первоначального взлома.
Цепочка заражения: социальная инженерия в своей основе.
Miolab в значительной степени полагается на обман для проникновения в системы. Киберпреступники распространяют его через поддельные приложения macOS, упакованные в файлы образов дисков (.DMG), тщательно созданные для того, чтобы имитировать легитимное программное обеспечение. Эти установщики часто имеют убедительную фирменную символику, значки и пользовательский интерфейс для повышения доверия.
После запуска вредоносная программа инициирует многоэтапный процесс заражения. Она отображает поддельный интерфейс установки, предлагая пользователям обойти предупреждения безопасности, щелкнув правой кнопкой мыши и выбрав «Открыть». Затем она пытается завершить работу приложения «Терминал», чтобы ограничить возможность отслеживания своих действий. Отображается поддельный запрос пароля macOS, обманом заставляющий пользователей ввести свои системные учетные данные.
После проверки пароля Miolab собирает информацию на системном уровне, включая характеристики оборудования и конфигурацию программного обеспечения. Затем он сканирует ключевые каталоги, такие как Рабочий стол, Документы и Загрузки, нацеливаясь на файлы, например, документы, электронные таблицы, PDF-файлы и данные, связанные с паролями. В ходе этого процесса пользователи могут столкнуться с запросами на предоставление разрешений, а вредоносная программа незаметно собирает и подготавливает полученные данные для эксфильтрации.
