Back to blog
Кибербезопасность

JobStealer: фейковые собеседования и кража криптокошельков на macOS и Windows

May 7, 2026
5 min read
Команда HHIVP
JobStealer: фейковые собеседования и кража криптокошельков на macOS и Windows

Главное

7 мая 2026 года специалисты «Доктор Веб» опубликовали предупреждение о новом инфостилере JobStealer. Атака построена на социальной инженерии: жертве предлагают «пройти онлайн-собеседование» и установить специальное приложение для видеоконференции — но вместо клиента видеосвязи в систему попадает троян, ворующий пароли, сессии мессенджеров и данные криптокошельков.

Цель — пользователи macOS и Windows. Версии под Linux, iOS и Android анонсированы на сайтах злоумышленников, но реально пока не распространяются.

Как заманивают жертву

Сценарий стандартный для таргетированных схем последнего года:

  1. Мошенники выходят на потенциальную «жертву-кандидата» через LinkedIn, Telegram, email-рассылки или рекрутинговые площадки.
  2. Предлагают «вакансию мечты» — обычно в IT, Web3, крипто-проектах.
  3. Назначают онлайн-собеседование и присылают ссылку на «корпоративную платформу видеоконференций».
  4. На этом сайте — единственная кнопка «скачать клиент для подключения». Скачивается JobStealer.

Для повышения доверия мошенники заводят Telegram-каналы и аккаунты в соцсетях (X), создают видимость живого продукта. Названия фейковых приложений, замеченные Dr.Web:

  • MeetLab
  • Juseo
  • Meetix
  • Carolla
  • Поддельные клоны легитимных сервисов — например, фальшивый Webex

Как происходит установка

macOS

Два варианта доставки:

Вариант 1 — bash-команда в терминале. Сайт показывает инструкцию: «скопируйте команду и вставьте в Terminal». Команда автоматически скачивает и запускает скрипт, который, в свою очередь, загружает и исполняет основной модуль трояна — Mac.PWS.JobStealer.1.

Вариант 2 — DMG-образ с инструкцией. Жертва скачивает .dmg-файл «приложения для видеосвязи». Внутри образа лежит скрипт и пошаговая инструкция, в которой пользователю предлагается перетащить скрипт в Terminal. Вместо приложения снова запускается стилер.

Оба варианта обходят стандартный механизм Gatekeeper за счёт того, что пользователь сам выполняет команду в терминале.

Windows

Аналогичный сценарий с установщиком под видом клиента видеоконференций. Функциональность Windows-версии повторяет macOS.

Что умеет Mac.PWS.JobStealer.1

Исполняемый файл выполнен в формате Fat Mach-O и содержит сборки сразу под x64 и arm64 — то есть одинаково работает на Intel- и Apple Silicon-маках. Ранние версии поддерживали только x64 и почти не имели обфускации; в свежих сборках обфускация заметно усилена.

После запуска троян выводит окно с псевдо-ошибкой и запрашивает пароль от учётной записи macOS — классический фишинговый приём для повышения привилегий.

Что собирает

Системные данные:

  • версия операционной системы
  • идентификатор компьютера

Браузерные данные (Chromium-based: Chrome, Edge, Opera, Brave, Vivaldi, OperaGX, Arc, CocCoc):

  • содержимое примерно 300 криптокошельков-расширений
  • cookie-файлы (для перехвата уже залогиненных сессий)
  • сохранённые пароли и данные банковских карт из автозаполнения

Мессенджеры и заметки:

  • содержимое Telegram Desktop: директории ~/Library/Application Support/Telegram Desktop/tdata и ~/Documents/temp_data/Apps/Telegram — там лежат сессионные ключи и загруженные файлы. Этого достаточно для угона аккаунта без ввода кода.
  • заметки нативного приложения Notes в macOS

Криптовалютные клиенты:

  • проверка наличия Ledger Live и Trezor Suite на устройстве

Собранное упаковывается в ZIP-архив и отправляется на C2-сервер злоумышленников.

Почему атака опасна

JobStealer бьёт точно в две болевые точки 2026 года:

  1. Крипто-сообщество. Из-за роста рынка и активного найма в Web3-проекты вакансия «крипто-разработчик / community manager» стала естественной приманкой именно для тех, у кого на устройстве установлены кошельки.
  2. Telegram как корпоративный канал. Угон сессии Desktop-клиента даёт доступ ко всей переписке — включая рабочие чаты, переписку с банком, коды восстановления.

Финальный ущерб обычно складывается не из «утянутых паролей» как таковых, а из последующих транзакций с криптокошельков и атак с угнанного Telegram на коллег жертвы.

Признаки и MITRE ATT&CK

Тактики и техники, которые использует JobStealer (по матрице MITRE ATT&CK):

  • Initial access / Execution: T1204 (выполнение с участием пользователя), T1204.004 (вредоносное copy-paste), T1204.002 (вредоносный файл)
  • Discovery: T1083 (обнаружение файлов и каталогов)
  • Collection: T1119 (автоматизированный сбор), T1005 (данные из локальной системы), T1555 / T1555.001 / T1555.003 (учётные данные из связки ключей и браузеров), T1056 / T1056.002 (перехват ввода в GUI), T1560 (архивация)
  • Command & Control: T1102 (веб-служба)
  • Exfiltration: T1020 (автоматизированная эксфильтрация), T1041 (через канал C2), T1567 (через веб-службу)

Полные индикаторы компрометации Dr.Web публикует в открытом GitHub-репозитории malware-iocs. Все известные модификации детектируются продуктами Dr.Web Security Space для macOS и Windows; вредоносные сайты добавлены в чёрный список Dr.Web.

Как защититься

Универсальное правило: легитимные сервисы видеоконференций (Zoom, Teams, Google Meet, Webex, Yandex Telemost, Контур.Толк) никогда не требуют скачивать клиент по ссылке от рекрутёра. Если вам прислали сайт с кнопкой «download», на котором обещают условный «улучшенный Webex» — это с очень высокой вероятностью JobStealer или его аналог.

Что делать на стороне сотрудника:

  • Если переходите по ссылке от рекрутёра — открывайте её в изолированной виртуальной машине или хотя бы в отдельном профиле браузера без сохранённых паролей и кошельков.
  • Никогда не копируйте команды из браузера в Terminal или PowerShell, даже если на сайте написано «так работает наша платформа». Это устойчивый признак вредоносной установки.
  • Криптокошельки-расширения держите в отдельном профиле браузера, не пересекающемся с рабочим.
  • Включайте облачную двухфакторную защиту Telegram (cloud password) — без неё угон сессии отдаёт аккаунт целиком.
  • Применяйте «принцип второго канала»: если предложение о работе пришло в Telegram/LinkedIn, проверяйте компанию через официальный сайт и отдельный звонок в HR. Голос и видео в мессенджерах сегодня успешно подделываются нейросетями — прямой звонок по сотовой связи пока нет.

Что делать на стороне компании:

  • Запретите запуск неподписанных исполняемых файлов на корпоративных macOS (политика Gatekeeper + MDM).
  • На Windows — AppLocker / WDAC, ограничение запуска из %TEMP%, %APPDATA%, Downloads.
  • Включите EDR с поведенческим анализом — сигнатурный антивирус новые билды JobStealer с обновлённой обфускацией пропустит, поведенческий — нет.
  • Проведите внутренний инструктаж: социальная инженерия через «фейковые вакансии» — уже массовый сценарий, к нему уязвимы не только разработчики, но и маркетинг, дизайн, рекрутинг.

Если у вас есть подозрение, что на корпоративном устройстве могла оказаться JobStealer-сборка, или вы хотите выстроить защиту по схеме EDR + MDM + обучение сотрудников — свяжитесь с нами. Подберём комплексное решение под инфраструктуру и формат работы команды.

Источник: предупреждение «Доктор Веб» от 7 мая 2026 года, индикаторы компрометации в репозитории Dr.Web malware-iocs на GitHub.

Share: