«Заражение обычно начинается с просмотра рекламного объявления на платформах видеохостинга, продвигающего якобы официальное приложение DynamicLake. Переход по рекламе ведет на поддельный сайт, визуально имитирующий легитимный сервис. Пользователю предлагают к скачиванию DMG-файл. После запуска установщика жертва вручную разрешает выполнение приложения, тем самым фактически обходя механизм защиты и предоставляя вредоносному ПО расширенные системные права», — отметили в пресс-службе.
После установки, по данным компании, вредоносное ПО незаметно закрепляется в системе и продолжает работу в фоновом режиме. Оно использует штатные механизмы macOS для автозапуска и автоматизации, что позволяет злоумышленникам управлять системой без визуальных признаков активности.
Функционально вредоносное ПО позволяет считывать нажатия клавиш, перехватывать содержимое буфера обмена, делать скриншоты, выполнять shell-команды, а также управлять системой без отображения окон. «Это позволяет вредоносу получить расширенный доступ к пользовательской среде и выполнять команды удаленно, оставаясь незаметными для жертвы», — добавили в пресс-службе.
«Мы видим устойчивое смещение фокуса атак — от уязвимостей блокчейна к компрометации пользовательской среды. Использование официальных рекламных каналов, нативных инструментов macOS и правдоподобных установщиков делает такие схемы особенно опасными даже для опытных пользователей», — добавили в пресс-службе.
