В поддельных приложениях для онлайн-собеседований скрывается троян-стилер, который атакует пользователей macOS и Windows

Эксперты «Доктор Веб» предупреждают о распространении троянской программы JobStealer, похищающей конфиденциальную информацию у пользователей компьютеров под управлением macOS и Windows. В первую очередь она нацелена на кражу данных из криптокошельков. Мошенники под предлогом проведения онлайн-собеседований заманивают потенциальных жертв на вредоносные сайты, где предлагают установить приложение для видеоконференций. В действительности это ПО — и есть троян JobStealer.

Атака начинается с того, что злоумышленники связываются с потенциальными жертвами и предлагают им ту или иную вакансию. Они приглашают пользователей пройти собеседование и предоставляют им ссылки на сайты «платформ» для проведения онлайн-встреч — якобы для подключения к видеоконференции. Эти сайты имеют презентабельный вид, но на самом деле являются мошенническими. С них под видом программы для онлайн-конференций скачивается вредоносная программа JobStealer. При этом киберпреступники используют различное оформление таких интернет-ресурсов, а также меняют имена самой программы. Наши специалисты встречали варианты с названиями MeetLab, Juseo, Meetix, Carolla и другие. В ряде случаев киберпреступники используют названия настоящих сервисов, таких как Webex.

Примеры сайтов поддельных сервисов онлайн-конференций, с которых скачивается JobStealer

Чтобы пользователи поверили, что платформы являются полноценно функционирующими, мошенники создают соответствующие телеграм-каналы и аккаунты в социальных сетях — например, X.

Для маскировки трояна под легитимное ПО злоумышленники создают видимость активности в социальных сетях

Для установки программы на устройства с macOS посетителям вредоносных сайтов предлагается две опции:

• скопировать и выполнить в терминале bash-команду, указанную на сайте;
• скачать файл образа диска в формате .dmg и запустить его.

Троян JobStealer скачивается с вредоносных сайтов как в виде dmg-контейнера, так и через выполнение bash-команды в терминале

В первом случае при выполнении команды в терминале из интернета автоматически загружается и исполняется скрипт, который скачивает и запускает исполняемый файл JobStealer (детектируется как Mac.PWS.JobStealer.1).

Во втором случае предлагаемый к загрузке dmg-образ изначально содержит указанные выше файлы. При монтировании он демонстрирует инструкцию по «установке» приложения. В ней указано, что пользователю необходимо открыть терминал и перетащить в его окно прилагаемый скрипт. На самом деле вместо установки ПО для видеоконференций скрипт запустит троянский файл.

Изображение с инструкцией, которое демонстрируется при открытии файла образа с трояном JobStealer

Mac.PWS.JobStealer.1 представляет собой исполняемый файл-контейнер в формате Fat Mach-O и содержит двоичный код сразу для нескольких процессорных архитектур — x64 и arm64. В зависимости от платформы зараженного компьютера при запуске трояна автоматически задействуется компонент, соответствующий целевому процессору.

Отметим, что существуют различные версии Mac.PWS.JobStealer.1. Более ранние варианты вредоносного приложения не поддерживали работу на компьютерах Mac с архитектурой arm64. В них также отсутствовала обфускация — ее вирусописатели начали добавлять и усиливать по мере обновления стилера.

После запуска Mac.PWS.JobStealer.1 демонстрирует фишинговое окно, где сообщает о якобы возникшей ошибке в работе. Для ее «исправления» вредоносная программа просит пользователя указать пароль от его учетной записи.

Фишинговое окно, в котором запрашивается пароль от учетной записи пользователя Mac

Далее Mac.PWS.JobStealer.1 собирает следующие данные:

• версию операционной системы и идентификатор компьютера;
• данные порядка 300 браузерных расширений-криптокошельков, установленных в целевых браузерах на базе Chomium (Chrome, Opera, Brave, OperaGX, Vivaldi, Edge, Arc, CocCoc);
• файлы cookie из этих браузеров;
• пароли, а также данные банковских карт, сохраненные в браузерных списках автозаполнения форм;
• файлы мессенджера Телеграм из директорий /Library/Application Support/Telegram Desktop/tdata и /Documents/temp_data/Apps/Telegram, где хранятся сессионные ключи авторизации, загружаемые файлы и т. п.;
• пользовательские заметки из нативного для macOS приложения Notes;
• наличие в системе приложений криптокошельков Ledger Live и Trezor Suite.

Эти данные помещаются в ZIP-архив и загружаются на C2-сервер.

Вирусописатели также подготовили версию трояна JobStealer и для компьютеров под управлением ОС Windows. Его функциональность аналогична версии для macOS. Кроме того, на некоторых вредоносных сайтах, распространяющих стилера, предусмотрены разделы для загрузки приложения на другие популярные операционные системы. Однако на данный момент наши вирусные аналитики не зафиксировали их распространение. Например, кнопка загрузки программы для ОС Linux либо неактивна, либо ведет на Windows-версию трояна. А в разделах для скачивания программы для устройств на базе iOS и Android говорится, что эти версии находятся в разработке. При этом нельзя исключать, что злоумышленники в дальнейшем начнут распространять варианты трояна и для данных платформ.

Вредоносные сайты потенциально могут распространять версии трояна JobStealer для Linux, iOS и Android

Все известные модификации вредоносного приложения JobStealer надежно детектируются и удаляются антивирусными продуктами Dr.Web Security Space для macOS и Windows и не представляют угрозы для наших пользователей. Распространяющие трояна мошеннические сайты добавлены в базу нерекомендуемых и опасных ресурсов и также блокируются Dr.Web.

MITRE ATT&CK®

Мы проанализировали вредоносную программу JobStealer по фреймворку MITRE ATT&CK®, который представляет собой матрицу с описанием тактик и техник киберпреступников, атакующих информационные системы. В результате были выявлены следующие ключевые техники:

Подробнее о Mac.PWS.JobStealer.1

Источник: https://news.drweb.ru/