Викрадач Міолабів
Miolab, також відомий як Nova, — це передовий викрадач інформації, спеціально розроблений для користувачів macOS. Розповсюджується через хакерські форуми за моделлю Malware-as-a-Service (MaaS), і дозволяє кіберзлочинцям отримати доступ до потужного набору інструментів без необхідності глибоких технічних знань. Шкідливе програмне забезпечення здатне витягувати конфіденційні дані з розширень криптовалютних гаманців, веббраузерів та різних програм управління, а також збирати файли безпосередньо зі скомпрометованих систем. Негайне видалення є критично важливим після виявлення, щоб мінімізувати збитки.
Зміст
Розроблено для ефективності, створено для ухилення
Miolab — це не простий викрадач вірусів; він інтегрує централізовану панель керування та інструменти управління атаками, що значно підвищує рівень загрози. Ця інфраструктура дозволяє навіть низькокваліфікованим зловмисникам виконувати складні кампанії. Його легка та оптимізована архітектура покращує поширення вірусів, забезпечує стабільну продуктивність у різних середовищах macOS та допомагає обходити традиційні механізми виявлення.
Командування та управління: спрощене управління атаками
Вбудована панель керування надає зловмисникам структурований огляд скомпрометованих жертв, включаючи географічні дані та зібрану інформацію. Вона також включає функцію повторного використання викрадених сеансів автентифікації Google, що дозволяє несанкціонований доступ до облікового запису без вимоги паролів або безпосереднього обходу двофакторної автентифікації.
Крім того, Miolab підтримує розгортання сторінок розповсюдження шкідливих програм та методи атак у стилі ClickFix. Оператори отримують вигоду від сповіщень у режимі реального часу через Telegram та можуть автоматизувати різні етапи своїх кампаній, підвищуючи операційну ефективність та масштабування.
Можливості вилучення даних браузера та криптовалюти
Miolab агресивно атакує дані, що зберігаються в браузері, витягуючи облікові дані та інформацію, пов’язану з сеансом, яку можна використовувати для подальшого компрометування. Його охоплення поширюється як на основні, так і на нішеві браузери, значно розширюючи зону його впливу.
- Зібрані конфіденційні дані браузера включають збережені паролі, файли cookie, історію переглядів та дані автозаповнення, такі як електронні адреси та адреси
- Також збираються артефакти автентифікації, такі як токени Google та файли cookie Safari.
Цільові браузери включають Chrome, Edge, Firefox, Arc, Brave, Librewolf, Opera, Opera GX, SeaMonkey, Tor Browser, Vivaldi, Waterfox, Yandex та Coc Coc - Окрім браузерів, Miolab значною мірою зосереджується на криптовалютних активах, витягуючи такі файли, як .dat, .key та .keys, з понад 200 розширень гаманців. Він також націлений на програми, що використовуються для керування апаратними гаманцями, що дозволяє викрадати критично важливі дані для відновлення.
- Цільові криптоінструменти включають Atomic Wallet, Binance, Bitcoin, DashCore, Dogecoin, Electrum, Exodus, Guarda, Litecoin, Monero, Tonkeeper та Wasabi Wallet.
- Такі програми, як Ledger Live, Ledger Wallet та Trezor Suite, спеціально призначені для вилучення початкової фрази для відновлення з 24 слів.
За межами браузерів: обмін повідомленнями та використання локальних даних
Шкідливе програмне забезпечення поширюється на програми для зв'язку та продуктивності. Воно може захоплювати активні сеанси з таких платформ, як Telegram та Discord, надаючи зловмисникам доступ до облікового запису без облікових даних. Воно також перевіряє Apple Notes, поширене місце, де користувачі можуть ненавмисно зберігати конфіденційну інформацію, таку як паролі або фрази для відновлення криптовалюти.
Після завершення збору даних Miolab стискає викрадену інформацію в ZIP-архів та вилучає її через HTTP. Щоб приховати свою активність, він відображає оманливе повідомлення про помилку macOS, яке вказує на те, що програма не може працювати.
Вплив: Реальна ціна інфекції
Інфекція Miolab може призвести до серйозних наслідків. Жертви можуть зазнати фінансових втрат через крадіжку криптовалюти, несанкціонований доступ до облікового запису, крадіжку особистих даних, шкоду репутації та можливість подальшого зараження шкідливим програмним забезпеченням, що виникне внаслідок початкової компрометації.
Ланцюг зараження: соціальна інженерія в його основі
Miolab значною мірою покладається на обман для проникнення в системи. Кіберзлочинці розповсюджують його через підроблені програми macOS, упаковані у вигляді файлів образів дисків (.DMG), ретельно створених, щоб імітувати легітимне програмне забезпечення. Ці інсталятори часто мають переконливий брендинг, значки та інтерфейси користувача для підвищення довіри.
Після запуску шкідливе програмне забезпечення ініціює багатоетапний процес зараження. Воно відображає підроблений інтерфейс встановлення, який пропонує користувачам обійти попередження безпеки, клацнувши правою кнопкою миші та вибравши «Відкрити». Потім воно намагається завершити роботу програми «Термінал», щоб обмежити видимість її дій. Відображається запит на підроблений пароль macOS, обманом змушуючи користувачів ввести свої системні облікові дані.
Після перевірки пароля Miolab збирає дані системного рівня, включаючи характеристики обладнання та конфігурації програмного забезпечення. Він переходить до сканування ключових каталогів, таких як «Робочий стіл», «Документи» та «Завантаження», зосереджуючись на таких файлах, як документи, електронні таблиці, PDF-файли та дані, пов’язані з паролями. Під час цього процесу користувачі можуть зіткнутися із запитами на дозвіл, поки шкідливе програмне забезпечення непомітно агрегує та готує зібрані дані для крадіжки.
