Криптосообщество столкнулось с новой волной целевых кибератак, направленных на пользователей устройств Apple. Эксперты по безопасности выявили две параллельные угрозы: вредоносное ПО для macOS и фишинговые приложения в App Store для iOS.
Для пользователей macOS компания SlowMist предупредила о высокодеструктивном инфостилере под названием "MacSync Stealer" (версия 1.1.2). Зловред использует фишинговые тактики, имитируя легитимные диалоговые окна macOS для запроса паролей. После получения доступа программа в фоновом режиме похищает данные, включая содержимое криптокошельков, системные Keychain, а также критически важные учетные данные для инфраструктуры (SSH, AWS, Kubernetes). Для маскировки после завершения кражи данных выводится поддельное сообщение об ошибке "not supported", создавая видимость сбоя приложения.
Это не единичный случай. Ранее команда безопасности Bybit обнаружила кампанию, нацеленную на пользователей macOS, ищущих Claude Code. Microsoft Threat Intelligence раскрыла высокоцелевую атаку от северокорейской группировки "Sapphire Sleet", которая маскируется под обновления ПО для macOS. Также известны случаи адаптации методов атак с Windows, таких как использование техники "ClickFix" в малвере "Infinity Stealer", и коммерчески распространяемый стилер "MioLab", созданный специально для высокоценных целей, включая владельцев криптовалют.
Для пользователей iPhone специалисты "Лаборатории Касперского" идентифицировали 26 мошеннических приложений-кошельков в официальном App Store. Эти приложения копируют названия и визуальный стиль популярных решений: MetaMask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken и Bitpie. После запуска пользователь перенаправляется на фишинговую страницу, имитирующую интерфейс App Store, где предлагается скачать второе, троянизированное приложение, способное опустошить криптокошельки.
Кампания активна как минимум с осени 2025 года. Исследователи с "умеренной уверенностью" связывают её с угрозой SparkKitty. Большинство фишинговых приложений распространялось среди пользователей в Китае, где официальные версии многих кошельков недоступны, однако вредоносная нагрузка не имеет региональных ограничений. Для маскировки приложения содержали базовые, не связанные с функционалом функции (игры, калькуляторы), чтобы пройти первоначальную проверку. Установка использует инструменты корпоративной разработки Apple, предлагая пользователю установить профиль разработчика для инсталляции ПО извне App Store.
Сергей Пузан, эксперт по мобильным угрозам "Лаборатории Касперского", предупредил, что сами приложения могут не содержать вредоносного кода, но служат точкой входа в более сложную цепочку атаки. Он отметил, что, оплатив взнос и создав аккаунт разработчика, злоумышленники могут атаковать любое устройство iOS, если пользователь поддастся на фишинг.
Отдельно отмечается, что данная волна угроз совпала по времени с разоблачением поддельного аппаратного кошелька Ledger Nano S Plus, который продавался через онлайн-маркетплейс. Устройство, разобранное бразильским исследователем, содержало несоответствующие оригиналу компоненты, а его прошивка хранила PIN-коды и сид-фразы в открытом виде с отсылками к внешним серверам для передачи данных.
