Как вредоносный загрузчик Purrglar обошёл хвалёную защиту Apple?
Исследовательская группа Kandji обнаружила потенциально вредоносный загрузчик, нацеленный на macOS, который был загружен на VirusTotal 10 января 2025 года. Эта программа, получившая название Purrglar, ориентирована на захват файлов, связанных с браузером Chrome и криптовалютным кошельком Exodus. Основной особенностью приложения является использование API Security Framework для обращения к «Связке ключей» macOS.
Эксперты полагают, что программа находится на стадии разработки, так как данные передаются на локальный хост, а не на удалённый сервер. Несмотря на это, исследование команды указывает на возможность использования загрузчика для кражи данных, что делает его объектом повышенного внимания.
Purrglar собирает данные о системе, включая серийный номер устройства, с помощью команды «system_profiler». Эти данные, наряду с временной меткой, формируют URL для передачи файлов, в котором задействован локальный сервер. Среди целевых файлов — куки, пароли и данные учётных записей Chrome, а также конфиденциальная информация из криптовалютного кошелька Exodus.
При попытке доступа к Keychain программа вызывает системный запрос на разрешение, используя методы, рекомендованные Apple. Если пользователь подтверждает запрос, приложение получает доступ к ключам, связанным с Chrome, и передаёт их вместе с другими данными на сервер. В противном случае отображается сообщение об ошибке, побуждающее пользователя ввести пароль.
Среди загружаемых файлов оказались куки и логины Chrome, а также данные из папки «~/Library/Application Support/Exodus/exodus.wallet». Передача файлов выполняется через Curl API с использованием mime-объектов, что позволяет отправлять данные в формате multipart/form-data. Каждый файл отправляется на сервер по отдельному URL, сформированному на основе серийного номера устройства и временной метки.
На момент анализа исследователи не смогли установить окончательные намерения разработчиков программы. Возможно, это экспериментальный проект, но его структура и поведение могут быть использованы в будущих вредоносных программах для кражи данных. Эксперты рекомендуют сохранять бдительность и обращать внимание на подобные приложения.
Эксперты полагают, что программа находится на стадии разработки, так как данные передаются на локальный хост, а не на удалённый сервер. Несмотря на это, исследование команды указывает на возможность использования загрузчика для кражи данных, что делает его объектом повышенного внимания.
Purrglar собирает данные о системе, включая серийный номер устройства, с помощью команды «system_profiler». Эти данные, наряду с временной меткой, формируют URL для передачи файлов, в котором задействован локальный сервер. Среди целевых файлов — куки, пароли и данные учётных записей Chrome, а также конфиденциальная информация из криптовалютного кошелька Exodus.
При попытке доступа к Keychain программа вызывает системный запрос на разрешение, используя методы, рекомендованные Apple. Если пользователь подтверждает запрос, приложение получает доступ к ключам, связанным с Chrome, и передаёт их вместе с другими данными на сервер. В противном случае отображается сообщение об ошибке, побуждающее пользователя ввести пароль.
Среди загружаемых файлов оказались куки и логины Chrome, а также данные из папки «~/Library/Application Support/Exodus/exodus.wallet». Передача файлов выполняется через Curl API с использованием mime-объектов, что позволяет отправлять данные в формате multipart/form-data. Каждый файл отправляется на сервер по отдельному URL, сформированному на основе серийного номера устройства и временной метки.
На момент анализа исследователи не смогли установить окончательные намерения разработчиков программы. Возможно, это экспериментальный проект, но его структура и поведение могут быть использованы в будущих вредоносных программах для кражи данных. Эксперты рекомендуют сохранять бдительность и обращать внимание на подобные приложения.