Новая фишинговая кампания нацелена на пользователей в Колумбии, маскируясь под официальные уведомления Генеральной прокуратуры страны (Fiscalía General de la Nación). В атаках используется инновационный вектор — файлы масштабируемой векторной графики (SVG), которые спроектированы таким образом, чтобы оставаться незамеченными для антивирусного программного обеспечения. Основная цель злоумышленников — заставить жертву загрузить вредоносный ZIP-архив.
Механизм атаки построен на встроенном в SVG-файл полезной нагрузке на JavaScript. После открытия файла скрипт декодирует и внедряет в браузер фишинговую HTML-страницу, закодированную в Base64. Эта страница имитирует процесс загрузки документа с помощью фальшивой шкалы прогресса, в то время как в фоновом режиме инициируется скачивание вредоносного ZIP-архива. Содержимое этого архива в отчетах не раскрывается.
Согласно данным сервиса сканирования вредоносных программ VirusTotal, принадлежащего Google, было обнаружено 44 уникальных SVG-файла, которые не детектировались антивирусными движками. Для обхода защиты злоумышленники применяли обфускацию, полиморфизм и добавляли в код большие объемы «мусорных» данных. Всего было зафиксировано 523 подобных SVG-файла. Самый ранний образец датируется 14 августа 2025 года. Отмечается, что первые версии вредоносных файлов были крупными, достигая 25 МБ, однако со временем их размер уменьшился по мере оптимизации кода.
Параллельно растет угроза для пользователей macOS в виде инфостилера AMOS. Этот вредонос, как сообщает компания Trend Micro, активно распространяется среди пользователей, ищущих взломанное программное обеспечение. Кампания демонстрирует, что платформа Apple больше не является второстепенной целью для киберпреступников, которые быстро адаптируются к новым мерам защиты операционной системы.
AMOS способен похищать широкий спектр данных: учетные записи, данные браузеров, криптовалютные кошельки, чаты Telegram, профили VPN, элементы из связки ключей (Keychain), заметки Apple Notes, а также файлы из стандартных папок пользователя. Злоумышленники распространяют вредонос через сайты с пиратским ПО, такие как haxmac[.]cc.
Ранее для заражения использовались вредоносные файлы с расширением.dmg. Однако Apple усилила защиту в операционной системе macOS Sequoia с помощью технологии Gatekeeper, которая по умолчанию блокирует установку неподписанных и не прошедших нотаризацию у Apple пакетов приложений. Это вынудило злоумышленников изменить тактику.
Для обхода Gatekeeper теперь применяется метод под названием ClickFix. Вместо загрузки.dmg-файла пользователю на странице загрузки предлагается скопировать и выполнить команду
Еще одна зафиксированная угроза — использование вредоносного ПО StealC. По данным компании CyberArk, основной функцией этого зловреда в текущих атаках являются его возможности загрузчика. StealC используется в качестве дроппера первой стадии для доставки на зараженную систему других вредоносных программ. В частности, он применяется для развертывания стилера, нацеленного на хищение криптовалютных активов.
Изображение носит иллюстративный характер
Механизм атаки построен на встроенном в SVG-файл полезной нагрузке на JavaScript. После открытия файла скрипт декодирует и внедряет в браузер фишинговую HTML-страницу, закодированную в Base64. Эта страница имитирует процесс загрузки документа с помощью фальшивой шкалы прогресса, в то время как в фоновом режиме инициируется скачивание вредоносного ZIP-архива. Содержимое этого архива в отчетах не раскрывается.
Согласно данным сервиса сканирования вредоносных программ VirusTotal, принадлежащего Google, было обнаружено 44 уникальных SVG-файла, которые не детектировались антивирусными движками. Для обхода защиты злоумышленники применяли обфускацию, полиморфизм и добавляли в код большие объемы «мусорных» данных. Всего было зафиксировано 523 подобных SVG-файла. Самый ранний образец датируется 14 августа 2025 года. Отмечается, что первые версии вредоносных файлов были крупными, достигая 25 МБ, однако со временем их размер уменьшился по мере оптимизации кода.
Параллельно растет угроза для пользователей macOS в виде инфостилера AMOS. Этот вредонос, как сообщает компания Trend Micro, активно распространяется среди пользователей, ищущих взломанное программное обеспечение. Кампания демонстрирует, что платформа Apple больше не является второстепенной целью для киберпреступников, которые быстро адаптируются к новым мерам защиты операционной системы.
AMOS способен похищать широкий спектр данных: учетные записи, данные браузеров, криптовалютные кошельки, чаты Telegram, профили VPN, элементы из связки ключей (Keychain), заметки Apple Notes, а также файлы из стандартных папок пользователя. Злоумышленники распространяют вредонос через сайты с пиратским ПО, такие как haxmac[.]cc.
Ранее для заражения использовались вредоносные файлы с расширением.dmg. Однако Apple усилила защиту в операционной системе macOS Sequoia с помощью технологии Gatekeeper, которая по умолчанию блокирует установку неподписанных и не прошедших нотаризацию у Apple пакетов приложений. Это вынудило злоумышленников изменить тактику.
Для обхода Gatekeeper теперь применяется метод под названием ClickFix. Вместо загрузки.dmg-файла пользователю на странице загрузки предлагается скопировать и выполнить команду
curl в приложении «Терминал». Это действие напрямую загружает и устанавливает стилер на устройство, минуя встроенные механизмы защиты операционной системы. Еще одна зафиксированная угроза — использование вредоносного ПО StealC. По данным компании CyberArk, основной функцией этого зловреда в текущих атаках являются его возможности загрузчика. StealC используется в качестве дроппера первой стадии для доставки на зараженную систему других вредоносных программ. В частности, он применяется для развертывания стилера, нацеленного на хищение криптовалютных активов.
