Страж впускает вора: системные инструменты macOS внезапно стали соучастниками взлома

Исследовательская группа Kandji обнаружила потенциально вредоносный загрузчик, нацеленный на macOS , который был загружен на VirusTotal 10 января 2025 года. Эта программа, получившая название Purrglar, ориентирована на захват файлов, связанных с браузером Chrome и криптовалютным кошельком Exodus . Основной особенностью приложения является использование API Security Framework для обращения к «Связке ключей» macOS.

Эксперты полагают, что программа находится на стадии разработки, так как данные передаются на локальный хост, а не на удалённый сервер. Несмотря на это, исследование команды указывает на возможность использования загрузчика для кражи данных, что делает его объектом повышенного внимания.

Purrglar собирает данные о системе, включая серийный номер устройства, с помощью команды «system_profiler». Эти данные, наряду с временной меткой, формируют URL для передачи файлов, в котором задействован локальный сервер. Среди целевых файлов — куки, пароли и данные учётных записей Chrome, а также конфиденциальная информация из криптовалютного кошелька Exodus.

При попытке доступа к Keychain программа вызывает системный запрос на разрешение, используя методы, рекомендованные Apple. Если пользователь подтверждает запрос, приложение получает доступ к ключам, связанным с Chrome, и передаёт их вместе с другими данными на сервер. В противном случае отображается сообщение об ошибке, побуждающее пользователя ввести пароль.

Среди загружаемых файлов оказались куки и логины Chrome, а также данные из папки «~/Library/Application Support/Exodus/exodus.wallet». Передача файлов выполняется через Curl API с использованием mime-объектов, что позволяет отправлять данные в формате multipart/form-data. Каждый файл отправляется на сервер по отдельному URL, сформированному на основе серийного номера устройства и временной метки.

На момент анализа исследователи не смогли установить окончательные намерения разработчиков программы. Возможно, это экспериментальный проект, но его структура и поведение могут быть использованы в будущих вредоносных программах для кражи данных. Эксперты рекомендуют сохранять бдительность и обращать внимание на подобные приложения.