Аналитики Intego Antivirus Labs выявили новую схему социальной инженерии, нацеленную на пользователей macOS, получившую название Matryoshka. Как передает Anti-Malware, данная кампания нацелена в первую очередь на держателей криптовалютных кошельков и отличается продвинутой многоуровневой маскировкой вредоносного кода.
Суть атаки заключается в тайпсквоттинге: предполагается, что пользователь совершит ошибку при вводе адреса нужного сайта, тем самым попав на ресурс, контролируемый злоумышленниками. После этого, посредством системы распределения трафика (TDS), жертва направляется на страницу, где отображается поддельное сообщение об ошибке. Пользователю предлагается устранить несуществующую проблему, введя команду в приложении «Терминал».
Таким образом, жертва сама запускает вредоносный скрипт. Исследователи отмечают, что данный код применяется непосредственно в оперативной памяти устройства, что значительно затрудняет его обнаружение антивирусными программами и автоматизированными системами анализа (песочницами).
После активации вредоносное ПО вмешивается в работу программ для аппаратных криптокошельков. В случае с Trezor Suite осуществляется попытка завершить рабочий процесс и подменить оригинальное приложение на модифицированную версию. В отношении Ledger Live используется менее явный метод: происходит замена внутренних файлов легитимного приложения с последующим внедрением бэкдора.
После успешного взлома пользователю показывается ложное уведомление о несовместимости приложения с системой. Это делается для того, чтобы избежать подозрений и выиграть время, необходимое для вывода средств.
Эта атака не полагается на сложные эксплойты, а скорее на рассеянность пользователя. Специалисты настоятельно рекомендуют вводить команды в «Терминал» только после проверки надежности источника, особенно если переход на сайт был осуществлен по случайной ссылке или в результате опечатки в адресе.
