Cryptonews

Хакеры проникают в устройства Apple с помощью хитрого программного обеспечения и охотятся на тех, кто ищет загадочные ключи для кодирования

Источник
cryptonewstrend.com
Опубликовано
Хакеры проникают в устройства Apple с помощью хитрого программного обеспечения и охотятся на тех, кто ищет загадочные ключи для кодирования

Bybit раскрыла подробности многоэтапной кампании по вредоносному ПО для macOS, нацеленной на пользователей, которые ищут «Claude Code», инструмент разработки на основе искусственного интеллекта от Anthropic, согласно выводам, опубликованным ее Центром операций безопасности (SOC) и переданным Finbold 21 апреля. Компания заявила, что кампания представляет собой один из первых публично задокументированных случаев, когда централизованная биржа криптовалют (CEX) выявила и проанализировала активную угрозу, использующую каналы обнаружения инструментов искусственного интеллекта для целевых разработчиков. По данным Bybit, кампания была впервые обнаружена в марте 2026 года и основывалась на «отравлении» поисковой оптимизации (SEO) для поднятия вредоносного домена на вершину результатов поиска Google. Пользователи, искавшие «Код Клода», были перенаправлены на поддельную страницу установки, очень похожую на подлинную документацию. Анализ Bybit показал, что атака использовала двухэтапную цепочку вредоносного ПО. Первоначальная полезная нагрузка, доставленная через дроппер Mach-O, включала в себя инфостилер на основе osascript, демонстрирующий характеристики, аналогичные известным вариантам AMOS и Banshee. Инфокрад выполнил многоэтапный процесс обфускации для извлечения конфиденциальных данных, включая учетные данные браузера, записи связки ключей macOS, сеансы Telegram, профили VPN и информацию о криптовалютном кошельке. Исследователи Bybit выявили попытки целевого доступа к более чем 250 расширениям браузерных кошельков, а также множеству настольных приложений-кошельков. Полезная нагрузка второго этапа представляла собой бэкдор на основе C++ с расширенными методами обхода, такими как обнаружение «песочницы» и зашифрованная конфигурация среды выполнения. Вредоносное ПО установило устойчивость через агентов системного уровня и позволило удаленно выполнять команды посредством опроса на основе HTTP, что позволило злоумышленникам сохранять постоянный контроль над скомпрометированными устройствами. Расследование также выявило тактику социальной инженерии, в том числе поддельные запросы пароля macOS, используемые для проверки и кэширования учетных данных пользователя. В некоторых случаях злоумышленники пытались заменить законные приложения-кошельки, такие как Ledger Live и Trezor Suite, на зараженные троянами версии, размещенные во вредоносной инфраструктуре. Bybit заявила, что ее SOC использует рабочие процессы с использованием искусственного интеллекта на протяжении всего жизненного цикла анализа вредоносного ПО, что значительно сокращает время отклика, сохраняя при этом глубину анализа. Первоначальная сортировка и классификация образца Mach-O были завершены в течение нескольких минут, при этом модели ИИ отметили сходство поведения с известными семействами вредоносных программ. По данным компании, реверс-инжиниринг с помощью искусственного интеллекта и анализ потока управления сократили глубокую проверку бэкдора второго этапа примерно с шести-восьми часов до менее 40 минут. Автоматизированные конвейеры извлечения идентифицировали индикаторы компрометации, включая инфраструктуру управления и контроля, подписи файлов и модели поведения, которые были сопоставлены с установленными системами угроз. Эти возможности позволили развернуть меры обнаружения в тот же день. Генерация правил с помощью искусственного интеллекта поддерживала создание сигнатур угроз и правил обнаружения конечных точек, которые проверялись аналитиками перед внедрением в производственную среду. По словам Байбита, черновики отчетов, созданные с помощью ИИ, сокращают время обработки, позволяя получать результаты анализа угроз примерно на 70% быстрее, чем традиционные рабочие процессы. «Являясь одной из первых криптовалютных бирж, публично задокументировавших этот тип кампании по распространению вредоносного ПО, мы считаем, что обмен этими выводами имеет решающее значение для укрепления коллективной защиты во всей отрасли», — сказал Дэвид Зонг, руководитель группы контроля рисков и безопасности в Bybit. "Наш SOC с помощью ИИ позволяет нам перейти от обнаружения к полной прозрачности цепочки убийств в рамках одного оперативного окна. То, что раньше требовало, чтобы команда аналитиков работала в несколько смен - декомпиляция, извлечение IOC, составление отчетов, написание правил - было выполнено за один сеанс, когда ИИ выполняет тяжелую работу, а наши аналитики обеспечивают суждение и проверку. Заглядывая в будущее, мы столкнемся с войной ИИ. Использование ИИ для защиты от ИИ является неизбежной тенденцией. Bybit будет и дальше увеличивать свои инвестиции в ИИ для обеспечения безопасности, достижения обнаружение угроз на минутном уровне и автоматизированное интеллектуальное реагирование на чрезвычайные ситуации». Вредоносное ПО было нацелено на широкий спектр сред, включая браузеры на базе Chromium, варианты Firefox, данные Safari, Apple Notes и локальные каталоги файлов, которые обычно используются для хранения конфиденциальной финансовой или аутентификационной информации. Bybit заявила, что выявила несколько доменов и конечных точек управления и контроля, связанных с кампанией, все из которых с тех пор были обезображены для публичного раскрытия. Анализ показал, что злоумышленники полагались на периодический опрос HTTP, а не на постоянные соединения, что усложняло обнаружение. По данным Bybit, вредоносная инфраструктура, связанная с кампанией, была выявлена ​​12 марта. Полный анализ, меры по смягчению последствий и меры внутреннего обнаружения были завершены в тот же день. Публичное раскрытие последовало 20 марта и сопровождалось подробным графическим интерфейсом обнаружения и исправления.