Як повідомляє Odaili, засновник SlowMist Ю Цзянь повідомив, що східноєвропейські хакери нещодавно випустили шкідливе програмне забезпечення, націлене на системи macOS. Після запуску це зловмисне програмне забезпечення автоматично викрадає файли cookie, інформацію автозаповнення, дані паролів і локально зашифровані файли мнемонічних/приватних ключів із розширень браузера. Крім того, він може отримати доступ до інформації, що зберігається в macOS Keychain, яка часто включає різні паролі та інші конфіденційні дані.
Ю Цзянь пояснив, що, виходячи з минулих надзвичайних ситуацій, будь то в macOS чи Windows, кроки зловмисника зазвичай такі: спочатку вони розшифровують локально зашифровані файли мнемонічних/приватних ключів із розширень гаманця. Деякі паролі легко доступні локально, тоді як інші отримують за допомогою атак грубої сили. Отже, активи гаманців деяких користувачів викрадаються через кілька днів після початкового зараження. Якщо активи цільового гаманця мінімальні, зловмисне програмне забезпечення залишається бездіяльним, доки не буде достатньо коштів для крадіжки.
По-друге, зловмисне програмне забезпечення компрометує збережені в браузері облікові дані облікового запису, включно з такими платформами, як X, і різними торговими платформами. Нарешті, він націлений на комунікаційні програми, такі як Telegram і Discord. Тому в разі зараження вкрай важливо захистити ці облікові записи перед виконанням антивірусного сканування або перевстановлення операційної системи для відновлення системи.