СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
3 часа назад
#ИБ

MacSync Stealer атакует macOS через поддельный Homebrew

Последние тенденции указывают на рост киберкампаний, нацеленных на устройства macOS, в частности на ноутбуки MacBook и мини-компьютеры Mac mini. Один из заметных инцидентов связан с вредоносной рекламой, которая перенаправляет пользователей на мошенническую веб-страницу, имитирующую Homebrew — популярный сторонний package manager для macOS.

Как работает схема

Вредоносная реклама была замечена 30 апреля 2026 года и привела доверчивых пользователей на сайт, который заявляет о поддержке Homebrew, но на деле продвигает вредоносное ПО MacSync Stealer. По состоянию на 1 мая 2026 года страница оставалась активной и содержала обманные скрипты, побуждающие пользователей загружать ВПО, замаскированное под легитимное программное обеспечение.

Ключевой элемент атаки — social engineering. Пользователей вводят в заблуждение, предлагая копировать и вставлять команды в Terminal, что запускает процесс заражения. После выполнения вредоносный код запрашивает у приложения Terminal повышенный доступ к Finder в macOS, тем самым облегчая установку и закрепление в системе.

Что происходит после заражения

На этапе компрометации MacSync Stealer собирает конфиденциальную информацию с заражённого хоста. Данные временно сохраняются в файле osalogging.zip, расположенном в каталоге /tmp/, после чего передаются на сервер управления C2. Это свидетельствует об успешной exfiltration данных.

Базовая инфраструктура кампании спроектирована так, чтобы скрывать вредоносный характер действий и затруднять пользователям распознавание угрозы. Подобная маскировка делает атаку особенно опасной: внешне она выглядит как обычная загрузка популярного инструмента, но в действительности ведёт к компрометации устройства.

Что важно знать пользователям и специалистам

Специалистам и stakeholders в области кибербезопасности рекомендуется сохранять бдительность и скептицизм в отношении результатов поиска, предлагающих загрузку программного обеспечения, особенно если используется impersonation известных продуктов и сервисов.

  • не переходить по сомнительным рекламным ссылкам;
  • проверять источник загрузки программного обеспечения;
  • не выполнять команды из непроверенных инструкций в Terminal;
  • обращать внимание на попытки запрашивать расширенные права доступа;
  • регулярно повышать осведомлённость о техниках социальной инженерии.

Этот случай подчёркивает необходимость постоянного контроля за угрозами в экосистеме macOS и демонстрирует, насколько эффективно злоумышленники используют доверие пользователей к популярным инструментам и поисковой рекламе.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: