Шкідливе програмне забезпечення MacSync
MacSync — це перейменований та оновлений варіант викрадача даних mac.c, який вперше з'явився навесні 2025 року. Всього через місяць шкідливе програмне забезпечення знову з'явилося під новою назвою. Хоча воно все ще має можливості крадіжки даних свого попередника, MacSync додає додатковий компонент бекдору. Примітно, що оригінальний викрадач даних був розроблений на C, тоді як модуль бекдору написаний на Go, що підкреслює його зсув до модульної та більш складної структури.
Зміст
Глобальне поширення через шахрайство ClickFix
MacSync було виявлено по всьому світу, причому зараження зосереджені в Україні, США, Німеччині, Великій Британії та Іспанії. Шкідливе програмне забезпечення поширюється переважно через шахрайство ClickFix, яке обманом змушує жертв виконувати шкідливі команди в їхніх системах. Після запуску MacSync починає процес проникнення, відображаючи запит на введення фальшивого пароля, намагаючись отримати облікові дані пристрою.
Подвійна функціональність: крадіжка даних та дистанційне керування
Після забезпечення доступу MacSync розгортає свій бекдор на базі Go. Цей компонент підключається до сервера командування та управління (C&C), що дозволяє зловмисникам дистанційно виконувати команди. Водночас модуль крадіжки даних збирає конфіденційну інформацію, таку як:
- Особисті файли
- Облікові дані для входу
- Криптовалютні гаманці
Щоб уникнути виявлення та ускладнити аналіз, MacSync використовує обфускацію коду та видаляє тимчасові файли, пов'язані з його операціями.
Призначення модуля бекдору
Бекдори розроблені для того, щоб надати кіберзлочинцям таємний доступ до скомпрометованих систем. Бекдор MacSync не лише спрощує віддалене виконання команд, але й залишає двері відкритими для додаткових шкідливих модулів. Такий модульний підхід значно збільшує потенціал шкідливого програмного забезпечення для розширення своїх можливостей та подальшого компрометування заражених систем.
Поширення за межами ClickFix
Хоча шахрайські схеми ClickFix на тему Cloudflare залишаються основним вектором поширення, дослідники попереджають, що MacSync може поширюватися кількома способами. Кіберзлочинці часто покладаються на фішинг та соціальну інженерію, щоб маскувати шкідливе програмне забезпечення під легітимні файли чи програми.
Деякі з найпоширеніших методів зараження включають:
- Онлайн-шахрайство, шкідлива реклама та оманливі завантаження
Заключні думки
MacSync знаменує собою значний розвиток порівняно зі своїм попередником mac.c, поєднуючи операції крадіжки даних з функціональністю бекдору. Його модульна конструкція та широкі методи розповсюдження роблять його особливо небезпечною загрозою. Користувачам слід бути уважними до фішингових кампаній, підозрілих завантажень та фальшивих запитів на оновлення, оскільки вони залишаються основними шлюзами для цього шкідливого програмного забезпечення.
