Киберпреступники активизировали атаки на пользователей macOS, используя фейковые AI-инструменты для кражи криптовалюты. По данным расследования биржи Bybit, злоумышленники распространяют вредоносное ПО через поддельные сайты, имитирующие популярный AI-инструмент «Claude Code». Атака начинается с SEO-отравления: мошенники выводят фейковую страницу в топ поисковой выдачи Google, чтобы пользователи, ищущие легальный инструмент, попадали на поддельную площадку.
После перехода на фейковый сайт пользователям предлагается скачать «обновленную версию» или «плагин» для работы с AI. На самом деле это многоэтапный инфостилер, который после установки получает удаленный доступ к системе. Вредоносное ПО распознает более 250 криптокошельков и приложений, а также крадет логины, пароли и данные из macOS Keychain. Собранная информация агрегируется и отправляется злоумышленникам для последующего вывода средств.
Отдельно эксперты зафиксировали кампанию группы Lazarus с новым набором «Mach-O Man». Атака начинается с фишингового письма или сообщения, в котором жертве предлагают «исправить ошибку» в системе. Для этого пользователю необходимо вставить команду в терминал. После выполнения команды загрузчик подтягивает остальные модули атаки, которые собирают данные об устройстве, сети и установленных браузерах. Вредонос закрепляется через LaunchAgent и запускается автоматически при каждом входе в систему.
