Ένας εξελιγμένος infostealer macOS γνωστός ως MioLab —που παρακολουθείται επίσης ως Nova— έχει αναδειχθεί ως μία από τις πιο προηγμένες πλατφόρμες Malware-as-a-Service (MaaS) που στοχεύει χρήστες της Apple.
Διαφημιζόμενο σε ρωσόφωνα υπόγεια φόρουμ, το MioLab σηματοδοτεί μια αλλαγή στο τοπίο των απειλών, αποδεικνύοντας ότι το macOS δεν είναι πλέον στόχος χαμηλού κινδύνου.
Καθώς το μερίδιο αγοράς της Apple αυξάνεται μεταξύ των μηχανικών λογισμικού, των στελεχών και των επενδυτών κρυπτονομισμάτων, οι εισβολείς αντιμετωπίζουν πλέον τους Mac ως εξαιρετικά κερδοφόρες επιφάνειες επίθεσης.
.webp.jpeg)
Το κακόβουλο λογισμικό χρησιμοποιεί ένα φιλικό προς το χρήστη πλαίσιο web και ένα ελαφρύ ωφέλιμο φορτίο C που μεταγλωττίζεται σε περίπου 100 KB. Αυτό το μικρό μέγεθος βοηθά στην αποφυγή του βασικού εντοπισμού προστασίας από ιούς που βασίζεται σε υπογραφές.
Υποστηρίζει τις αρχιτεκτονικές Intel x86-64 και Apple Silicon ARM64, που τρέχουν σε εκδόσεις macOS από τη Sierra έως το Tahoe.
Οι δυνατότητες του MioLab περιλαμβάνουν κλοπή διαπιστευτηρίων του προγράμματος περιήγησης, αποστράγγιση πορτοφολιού κρυπτονομισμάτων, συλλογή κωδικού πρόσβασης από τον διαχειριστή και συλλογή αρχείων. Ένα premium πρόσθετο στοχεύει πορτοφόλια υλικού όπως το Ledger και το Trezor, ικανά να κλέψουν τις φράσεις του θύματος BIP39 ανάκτησης 24 λέξεων.
.webp.jpeg)
Οι αναλυτές του LevelBlue εντόπισαν το MioLab ως μια ταχέως εξελισσόμενη απειλή, σημειώνοντας ότι ο ρυθμός ανάπτυξής της είναι ασυνήθιστα γρήγορος για έναν κλέφτη πληροφοριών.
Εξετάζοντας τα αρχεία καταγραφής αλλαγών έως τον Φεβρουάριο του 2026, οι ερευνητές επιβεβαίωσαν κρίσιμες αναβαθμίσεις, συμπεριλαμβανομένης μιας ανακατασκευασμένης μονάδας εξαγωγής πορτοφολιού υλικού, αποκρυπτογράφησης Apple Notes στη συσκευή, ενός λειτουργικού προγράμματος λήψης cookie Safari και ενός πλήρους API της ομάδας.
Αυτό το API επιτρέπει στις εγκληματικές ομάδες να δημιουργούν ωφέλιμα φορτία μέσω προγραμματισμού και να κάνουν λήψη κλεμμένων αρχείων καταγραφής χωρίς να συνδεθούν στον πίνακα.
Η πλατφόρμα ενσωματώνει επίσης bot bot Telegram για ειδοποιήσεις θυμάτων σε πραγματικό χρόνο, εξυπηρετώντας οργανωμένες θυγατρικές εγκληματίες στον κυβερνοχώρο γνωστές ως traffers.
.webp.jpeg)
Η ανάλυση υποδομής αποκάλυψε ότι οι χειριστές του MioLab διαχειρίζονται ένα ευρύτερο οικοσύστημα εγκλήματος στον κυβερνοχώρο.
Ο πίνακας διαχείρισης του κακόβουλου λογισμικού φιλοξενούνταν στο παρελθόν στο playavalon[.]org, τώρα εναλλάσσεται για να εξυπηρετήσει μια καμπάνια phishing airdrop token Ethereum, μετατρέποντας την υπολειπόμενη επισκεψιμότητα από παλιούς δείκτες σε νέα απάτη.
.webp.jpeg)
Και οι δύο λειτουργίες προέρχονται από τη FEMO IT Solutions Ltd., έναν αλεξίσφαιρο πάροχο φιλοξενίας με την επωνυμία Defhost, προστατεύοντας πολλές οικογένειες κακόβουλων προγραμμάτων από τις αρχές επιβολής του νόμου.
ClickFix Delivery: Κοινωνική Μηχανική μέσω του Τερματικού
Μία από τις πιο αξιοσημείωτες προσθήκες του MioLab είναι η αλυσίδα μόλυνσης ClickFix — μια τεχνική που εξαπατά τα θύματα να εκτελούν κακόβουλες εντολές στο δικό τους τερματικό macOS.
Ο πίνακας περιλαμβάνει ένα βοηθητικό πρόγραμμα με ένα κλικ όπου οι χειριστές εισάγουν τα διαπιστευτήρια διακομιστή τους και το σύστημα παράγει αμέσως ένα ωφέλιμο φορτίο τερματικού έτοιμο για ανάπτυξη μέσω ψεύτικες σελίδες CAPTCHA ή κλωνοποιημένες πύλες προγραμματιστών.
Λίγο πριν από τη δημοσίευση, ο ερευνητής Marcelo Rivero εντόπισε μια ζωντανή καμπάνια κακόβουλης διαφήμισης που διανέμει το MioLab μέσω ενός πειστικού κλώνου του ιστότοπου τεκμηρίωσης του Claude Code – ένα νόμιμο εργαλείο AI γραμμής εντολών από την Anthropic.
.webp.jpeg)
Η καμπάνια σχεδιάστηκε με ακρίβεια για στόχους υψηλής αξίας — οι προγραμματιστές βολεύονται ήδη με την εκτέλεση εντολών Terminal.
Ο κλωνοποιημένος ιστότοπος παρείχε εντελώς νόμιμες οδηγίες εγκατάστασης στους επισκέπτες των Windows, περνώντας καθαρά την οπτική επιθεώρηση.
.webp.jpeg)
Για τους χρήστες macOS, ωστόσο, παρέδωσε ένα ωφέλιμο φορτίο τύπου ClickFix. Το πρώτο στάδιο βασίστηκε σε μια διεύθυνση URL με μάσκα Base64 που, αφού αποκωδικοποιηθεί και εκτελεστεί, εκτόξευσε ένα πρόγραμμα φόρτωσης για να φέρει το ωφέλιμο φορτίο Mach-O, να το ρίξει στο /tmp και να εκτελέσει μια εντολή xattr -c για να αφαιρέσει το χαρακτηριστικό Quarantine της Apple και να παρακάμψει το Gatekeeper.
Μόλις πέρασε από το Gatekeeper, το κακόβουλο λογισμικό σκότωσε τα ανοιχτά παράθυρα του τερματικού και εμφάνισε ένα ψεύτικο παράθυρο διαλόγου κωδικού πρόσβασης Προτιμήσεις συστήματος μέσω του AppleScript, εξαπατώντας τους χρήστες να εισαγάγουν τα διαπιστευτήρια σύνδεσής τους.
Στη συνέχεια, ο κωδικός πρόσβασης που καταγράφηκε επαληθεύτηκε με την υπηρεσία τοπικού καταλόγου χρησιμοποιώντας το βοηθητικό πρόγραμμα dscl.
Μόλις επιβεβαιωθεί, το MioLab άρχισε να συλλέγει cookie προγράμματος περιήγησης, κωδικούς πρόσβασης, αρχεία πορτοφολιού κρυπτονομισμάτων, Apple Notes, δεδομένα περιόδου λειτουργίας Telegram και έγγραφα από τους φακέλους Desktop και Downloads του χρήστη, προτού τα συμπιέσει όλα σε ένα αρχείο ZIP και τα ανεβάσει στον διακομιστή εντολών και ελέγχου του εισβολέα.
Για την άμυνα έναντι του MioLab, οι ομάδες ασφαλείας και οι χρήστες θα πρέπει να εφαρμόζουν τα ακόλουθα προστατευτικά μέτρα.
Οι χρήστες πρέπει να εκπαιδευτούν ώστε να αμφισβητούν απροσδόκητα μηνύματα κωδικού πρόσβασης από εφαρμογές που έχουν ληφθεί πρόσφατα.
Οι ομάδες ασφαλείας θα πρέπει να αποκλείουν ή να παρακολουθούν ευαίσθητα βοηθητικά προγράμματα του συστήματος — όπως π.χ dscl, osascriptκαι system_profiler — όταν καλείται από μη υπογεγραμμένες εφαρμογές. Πρόσβαση στους καταλόγους προφίλ του προγράμματος περιήγησης και στο αρχείο macOS Keychain login.keychain-db πρέπει να ελέγχονται αυστηρά.
Γνωστός κακόβουλους τομείς, συμπεριλαμβανομένων socifiapp[.]comπρέπει να αποκλειστεί και κάθε ύποπτο curl Τα αιτήματα POST σε εξωτερικά API θα πρέπει να επισημαίνονται και να διερευνώνται.
