JobStealer: фишинговые собеседования крадут данные macOS и Windows

Doctor Web сообщила о новой кампании с использованием трояна JobStealer, нацеленного на пользователей macOS и Windows. Основная задача вредоносного ПО — кража конфиденциальных данных, в первую очередь сведений из криптовалютных кошельков, банковских карт, браузерных сессий и других чувствительных источников.

Поддельные собеседования как приманка

По данным компании, киберпреступники используют социальную инженерию и маскируют атаку под процесс трудоустройства. Потенциальным жертвам предлагают фальшивые вакансии и перенаправляют их на поддельные сайты, имитирующие платформы для онлайн-собеседований.

Среди замеченных названий таких ресурсов — MeetLab, Juseo и даже Webex. Чтобы повысить доверие, злоумышленники также создают соответствующие каналы в социальных сетях, имитируя активность легитимного сервиса.

«Мошеннические сайты выглядят правдоподобно и подталкивают жертву к установке приложения для видеоконференцсвязи, которое на деле является трояном JobStealer», — следует из описания кампании.

Как JobStealer попадает на Mac

Для атак на пользователей macOS троян распространяется, как правило, двумя способами:

• в виде контейнера dmg;
• через команду bash, выполняемую в терминале.

В первом сценарии жертва монтирует образ dmg и видит поддельное предложение запустить скрипт. Вместо установки безобидного ПО этот скрипт запускает вредоносный код.

Данная версия, определяемая как Mac.PWS.JobStealer.1, поддерживает несколько архитектур процессоров, включая x64 и arm64.

Фишинговое окно и кража данных

После запуска вредоносное ПО показывает фишинговый интерфейс, стилизованный под ошибку программного обеспечения. Под этим предлогом пользователя убеждают ввести пароль учетной записи Mac, хотя на самом деле данные уходят злоумышленникам.

Информационные возможности трояна весьма широки. Он собирает:

• версию операционной системы;
• уникальные идентификаторы компьютера;
• подробные сведения о расширениях браузера, связанных с криптовалютными кошельками;
• seesion cookies;
• сохраненные пароли;
• данные банковских карт;
• файлы данных Telegram;
• пользовательские заметки из встроенного приложения macOS Notes.

После этого собранная информация упаковывается в ZIP-архив и передается на сервер управления злоумышленников.

Версия для Windows и перспективы развития атаки

Помимо варианта для macOS, существует и версия JobStealer для Windows. По данным Doctor Web, она повторяет функциональность macOS-аналога.

При этом вредоносные сайты уже анонсировали возможные версии для Linux, iOS и Android, однако на момент анализа эти дистрибутивы не работали. Эксперты не исключают, что злоумышленники могут внедрить их в будущем.

Реакция Doctor Web

В Doctor Web сообщили, что все известные варианты трояна на обеих платформах были выявлены и нейтрализованы. Кроме того, сайты, распространявшие это ВПО, были задокументированы и отнесены к опасным ресурсам, что позволило снизить риск дальнейших заражений.

Связь с MITRE ATT&CK®

Анализ JobStealer также позволил сопоставить его действия с фреймворком MITRE ATT&CK®. В числе задействованных тактик исследователи выделили:

• user execution;
• collection;
• automated exfiltration;
• input capture.

По оценке специалистов, набор этих техник подтверждает сложную и многокомпонентную природу угрозы, ориентированной не только на кражу учетных данных, но и на перехват максимально широкого массива персональной информации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.