بدافزار جدید Mac به نام 'MacSync' کیف‌پول‌های ارز دیجیتال را سرقت می‌کند

شرکت امنیت بلاک چین SlowMist درباره یک اینفواستیلر مخرب جدید macOS با نام "MacSync Stealer" (v1.1.2) هشدار داده است. 

این کمپین بدافزاری فعال به‌طور خاص کاربران اپل را هدف قرار می‌دهد تا کیف پول‌های ارز دیجیتال را تخلیه کرده و اطلاعات محرمانه زیرساختی حساس را استخراج کند.

روش عملیاتی 

عوامل مخرب از تاکتیک‌های فریبنده مهندسی اجتماعی برای دور زدن دفاع کاربران استفاده می‌کنند. 

این بدافزار از دیالوگ‌های سیستمی جعلی AppleScript استفاده می‌کند که پنجره‌های رمز عبور معتبر macOS را تقلید می‌کنند تا اطلاعات ورود به سیستم کاربر را فیشینگ کند.

این بدافزار پس از اینکه قربانی طعمه را می‌گیرد، داده‌های آن‌ها را به‌صورت مخفیانه در پس‌زمینه استخراج می‌کند. MacSync Stealer بلافاصله پس از اتمام استخراج داده، یک پیام خطای جعلی "پشتیبانی نمی‌شود" نمایش می‌دهد تا هیچ سوءظنی برانگیخته نشود. این ترفند وانمود می‌کند که برنامه صرفاً اجرا نشده است.

علاوه بر کاربران ارز دیجیتال، این بدافزار اعتبارنامه‌های مرورگر، Keychainهای سیستم macOS و کلیدهای زیرساخت حیاتی از جمله اعتبارنامه‌های SSH، AWS و Kubernetes (K8s) را هدف قرار می‌دهد.

سایر حوادث مرتبط با MacOS 

این یک حادثه منفرد نیست. تیم امنیتی Bybit به تازگی یک کمپین بدافزاری را که کاربران macOS در حال جستجوی Claude Code را هدف قرار می‌دهد، کشف کرده است.

اخیراً Microsoft Threat Intelligence یک کمپین بسیار هدفمند macOS را که توسط "Sapphire Sleet"، یک عامل تهدید شناخته‌شده تحت حمایت دولت کره شمالی، سازماندهی شده، افشا کرد. Sapphire Sleet از مهندسی اجتماعی پیشرفته برای جعل هویت به‌روزرسانی‌های نرم‌افزاری معتبر macOS و سرقت کیف پول‌های ارز دیجیتال استفاده می‌کند. 

باید به بدافزار "Infinity Stealer" نیز اشاره کرد که نشان داد چگونه روش‌های حمله محور Windows برای macOS تطبیق داده می‌شوند. این بدافزار از تکنیک "ClickFix" برای نمایش یک صفحه CAPTCHA جعلی به قربانیان استفاده می‌کند. شرکت امنیت سایبری SOC Prime نیز "MioLab" را شناسایی کرده که یک اینفواستیلر macOS توزیع‌شده تجاری است که به‌صراحت برای هدف قرار دادن قربانیان با ارزش بالا از جمله دارندگان ارز دیجیتال ساخته شده است.