Новый метод инфокрадов macOS через PyInstaller раскрыт Jamf

Эксперты Лаборатории Jamf Threat Labs выявили инновационный способ распространения инфокрадов (infostealers) для macOS, основанный на использовании известного инструмента PyInstaller. Этот легитимный софт, позволяющий упаковывать Python-код в автономные исполняемые файлы формата Mach-O, стал популярной «оболочкой» для вредоносного ПО, позволяющей запускать его без необходимости наличия установленной Python-среды на устройстве. Это особенно важно в условиях, когда Apple с выпуском macOS 12.3 удалила системный Python, усложнив предыдущие способы доставки подобных вредоносных программ.

Особенности обнаруженного infostealer “stl”

Jamf Threat Labs провели анализ вредоносной программы под названием “stl”, которая демонстрирует характерное поведение инфокрада. Среди обнаруженных признаков – запросы паролей у пользователей и связь с доменами, ассоциированными с другими известными infostealers.

• Двоичный файл Mach-O FAT – поддержка архитектур x86_64 и arm64, что обеспечивает совместимость с современными Mac-устройствами.
• Использование PyInstaller – в строках файла обнаружены четкие следы упаковки кода с помощью PyInstaller, что подтверждает использование данного инструмента в качестве загрузчика.
• Временное размещение Python-библиотек – во время выполнения infostealer извлекает необходимые библиотеки во временный каталог, существующий только на период работы вредоноса, что усложняет обнаружение.
• Поведение, типичное для infostealers – создание и модификация файлов, сбор и эксфильтрация конфиденциальных данных.

Технический анализ и методы борьбы

Для детального разбора вредоносного Mach-O файла специалисты рекомендуют использовать инструменты вроде Pyinstxtractor, которые позволяют распаковать образ, получить доступ к зашифрованному Python-коду и исследовать его логику. Декомпиляция раскрывает основные задачи infostealer:

• Сбор учетных данных путем фишинговых запросов паролей;
• Выполнение payload с помощью AppleScript;
• Извлечение конфиденциальной информации из macOS Keychain;
• Идентификация криптовалютных кошельков и хищение закрытых ключей и токенов.

Значение обнаруженного метода и перспектива угроз

Использование PyInstaller в качестве платформы для macOS infostealers свидетельствует о заметном развитии методов злоумышленников. Они адаптируются к изменениям системной среды — удалению preinstalled Python — и внедряют новые способы обхода системы обнаружения, снижая зависимость от внешних предпосылок для эксплуатации.

“Появление таких угроз требует постоянного мониторинга и исследований для снижения рисков, связанных с функционированием этого вредоносного ПО,” — отмечают специалисты Jamf Threat Labs. Их работа опирается на использование передовых методов анализа и своевременное выявление новых векторов атак.

Таким образом, новый метод распространения infostealers на базе PyInstaller — это знак увеличения сложности вредоносных кампаний под macOS и необходимость развития гибких и инновационных подходов к кибербезопасности в экосистеме Apple.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.