Приложение Purrglar научилось обманывать macOS и красть личные данные

Исследователи из компании Kandji выявили новый вредоносный загрузчик, получивший название Purrglar. Программа, ориентированная на операционную систему macOS, может обманывать встроенные системы защиты Apple и похищать конфиденциальные данные пользователей. Впервые этот загрузчик был загружен на VirusTotal 10 января 2025 года, что позволило специалистам начать его изучение.

Основная цель Purrglar — доступ к важной пользовательской информации, включая куки и пароли браузера Chrome, а также данные криптовалютного кошелька Exodus. Примечательно, что загрузчик использует легитимные API macOS, включая Security Framework, для обращения к «Связке ключей». Программа запрашивает доступ через стандартное системное окно, которое выглядит для пользователя как обычный запрос операционной системы. Если пользователь соглашается, Purrglar получает доступ к критически важным данным, которые затем отправляются на сервер.

Особенность этого вредоносного ПО заключается в его использовании команды «system_profiler», чтобы собирать информацию о системе, включая серийный номер устройства. Эти данные используются для создания URL-адреса, по которому затем передаются украденные файлы. Загрузчик работает с Curl API, чтобы отправлять данные на сервер в формате multipart/form-data. На момент анализа исследователи обнаружили, что передача данных происходит на локальный хост, что указывает на экспериментальную стадию разработки программы.

Специалисты предупреждают, что, несмотря на незавершённость, Purrglar демонстрирует высокую степень продуманности. Подобные инструменты могут быть доработаны и использованы для серьёзных кибератак. Эксперты советуют пользователям macOS быть внимательными при подтверждении любых системных запросов и активировать дополнительные меры защиты, такие как двухфакторная аутентификация.