НемеZида

Исследовательская группа Kandji обнаружила потенциально вредоносный загрузчик, нацеленный на macOS, который был загружен на VirusTotal 10 января 2025 года. Эта программа, получившая название Purrglar, ориентирована на захват файлов, связанных с браузером Chrome и криптовалютным кошельком Exodus. Основной особенностью приложения является использование API Security Framework для обращения к «Связке ключей» macOS.

Эксперты полагают, что программа находится на стадии разработки, так как данные передаются на локальный хост, а не на удалённый сервер. Несмотря на это, исследование команды указывает на возможность использования загрузчика для кражи данных, что делает его объектом повышенного внимания.

Purrglar собирает данные о системе, включая серийный номер устройства, с помощью команды «system_profiler». Эти данные, наряду с временной меткой, формируют URL для передачи файлов, в котором задействован локальный сервер. Среди целевых файлов — куки, пароли и данные учётных записей Chrome, а также конфиденциальная информация из криптовалютного кошелька Exodus.

При попытке доступа к Keychain программа вызывает системный запрос на разрешение, используя методы, рекомендованные Apple. Если пользователь подтверждает запрос, приложение получает доступ к ключам, связанным с Chrome, и передаёт их вместе с другими данными на сервер. В противном случае отображается сообщение об ошибке, побуждающее пользователя ввести пароль.

Среди загружаемых файлов оказались куки и логины Chrome, а также данные из папки «~/Library/Application Support/Exodus/exodus.wallet». Передача файлов выполняется через Curl API с использованием mime-объектов, что позволяет отправлять данные в формате multipart/form-data. Каждый файл отправляется на сервер по отдельному URL, сформированному на основе серийного номера устройства и временной метки.

www.group-telegram.com/us/nemeZ1da_ru.com/5490

9.4K viewsJan 22 at 07:08

Исследовательская группа Kandji обнаружила потенциально вредоносный загрузчик, нацеленный на macOS, который был загружен на VirusTotal 10 января 2025 года. Эта программа, получившая название Purrglar, ориентирована на захват файлов, связанных с браузером Chrome и криптовалютным кошельком Exodus. Основной особенностью приложения является использование API Security Framework для обращения к «Связке ключей» macOS.

Эксперты полагают, что программа находится на стадии разработки, так как данные передаются на локальный хост, а не на удалённый сервер. Несмотря на это, исследование команды указывает на возможность использования загрузчика для кражи данных, что делает его объектом повышенного внимания.

Purrglar собирает данные о системе, включая серийный номер устройства, с помощью команды «system_profiler». Эти данные, наряду с временной меткой, формируют URL для передачи файлов, в котором задействован локальный сервер. Среди целевых файлов — куки, пароли и данные учётных записей Chrome, а также конфиденциальная информация из криптовалютного кошелька Exodus.

При попытке доступа к Keychain программа вызывает системный запрос на разрешение, используя методы, рекомендованные Apple. Если пользователь подтверждает запрос, приложение получает доступ к ключам, связанным с Chrome, и передаёт их вместе с другими данными на сервер. В противном случае отображается сообщение об ошибке, побуждающее пользователя ввести пароль.

Среди загружаемых файлов оказались куки и логины Chrome, а также данные из папки «~/Library/Application Support/Exodus/exodus.wallet». Передача файлов выполняется через Curl API с использованием mime-объектов, что позволяет отправлять данные в формате multipart/form-data. Каждый файл отправляется на сервер по отдельному URL, сформированному на основе серийного номера устройства и временной метки.

BY НемеZида