Русская «матрёшка»: Как вредоносная программа прячется на macOS

IT-специалисты предупредили о волне атак на Mac, когда из-за фальшивой ошибки в Safari крадут криптовалюту.

Эксперты по кибербезопасности обнаружили опасную схему, нацеленную на владельцев компьютеров Apple. Мошенники придумали способ заставить пользователей самим устанавливать вирус. Метод назвали «Матрёшка» из-за многослойной системы запутывания кода.

Всё начинается с простой опечатки в браузере. Человек торопится и вводит адрес популярного сайта с ошибкой. Похожие домены мошенники выкупают заранее. Вместо нужного сайта запускается цепочка скрытых переадресаций. Перед человеком появляется поддельное сообщение об ошибке, а рядом инструкция, как её «быстро исправить». Жертву просят скопировать команду и вставить её в программу «Терминал».

Как только пользователь это делает, запускается заражение. Вирус не сохраняется на диске, а распаковывается прямо в памяти компьютера. Из-за такой упаковки антивирусам сложнее распознать угрозу.

Главная цель злоумышленников — криптовалютные кошельки. В случае с приложением Trezor Suite мошенники пытаются удалить оригинальную программу и скачать её опасную версию. С кошельком Ledger Live код встраивается внутрь настоящего приложения, подменяя файлы. Пользователь видит знакомую программу и ничего не подозревает.

Когда данные украдены и криптосчета опустошены, компьютер показывает новое фальшивое сообщение. Владелец Mac видит уведомление, что приложение не подходит для его системы. Ему советуют переустановить программу. Это нужно, чтобы человек не сразу понял, что произошла кража.

В этой схеме нет сложного взлома. Она рассчитана на невнимательность. Люди сами открывают доступ вирусу, выполняя команды из всплывающих окон. Правило безопасности простое: никогда не используйте «Терминал» по просьбе сайтов, обещающих быстрое исправление ошибок. Если вы случайно попали на подозрительную страницу, просто закройте вкладку, пишет Anti-Malware.