MacStealer
Ang isang kamakailang natuklasang malware na kilala bilang MacStealer ay nagbabanta sa mga gumagamit ng Mac operating system ng Apple. Ang partikular na malware na ito ay idinisenyo upang magnakaw ng sensitibong impormasyon mula sa mga biktima nito, kabilang ang kanilang mga kredensyal sa iCloud KeyChain, impormasyon sa pag-login sa web browser, mga wallet ng cryptocurrency, at posibleng iba pang mahahalagang file.
Ang dahilan kung bakit ang MacStealer, lalo na tungkol sa, ay na ito ay ipinamamahagi bilang isang 'Malware-as-a-Service' (MaaS) platform, na nangangahulugang nag-aalok ang developer ng mga premade build ng malware para ibenta sa iba na gustong magpakalat pa nito. . Ang mga premade build na ito ay available para bilhin sa halagang $100, na ginagawang mas madali para sa mga nakakahamak na aktor na isama ang malware sa sarili nilang mga campaign.
Ayon sa mga mananaliksik sa Uptycs, na unang natuklasan ang MacStealer, ang banta ay maaaring tumakbo sa macOS Catalina (10.15) at lahat ng mga bersyon hanggang sa pinakabagong, Ventura (13.2). Nangangahulugan ito na halos lahat ng mga gumagamit ng Mac ay potensyal na mahina sa malware na ito.
Maaaring Ikompromiso ng MacStealer ang Malawak na Saklaw ng Sensitibong Impormasyon
Ang MacStealer ay malware na natuklasan sa isang Dark Web na ipinagbabawal na forum, kung saan pino-promote ito ng developer. Sinasabi ng nagbebenta na ang malware ay nasa maagang yugto ng pagbuo ng beta at dahil dito, walang mga panel o tagabuo. Sa halip, ibinebenta ang malware bilang mga pre-built na DMG payload na may kakayahang makahawa sa macOS Catalina, Big Sur, Monterey, at Ventura.
Ang threat actor ay nagsasaad na ang pagbabanta ay ibinebenta nang napakababa dahil sa kakulangan ng isang tagabuo o panel ngunit nangangako na ang mas advanced na mga tampok ay idaragdag sa lalong madaling panahon. Ayon sa developer, ang MacStealer ay may kakayahang magnakaw ng malawak na hanay ng sensitibong data mula sa mga nakompromisong system.
Halimbawa, maaaring magnakaw ang MacStealer ng mga password ng account, cookies, at mga detalye ng credit card mula sa mga sikat na web browser gaya ng Firefox, Chrome, at Brave. Bukod pa rito, maaari itong mag-extract ng maraming uri ng mga file, kabilang ang DOC, DOCX, PDF, TXT, XLS, XLSX, PPT, PPTX, CSV, BMP, MP3, JPG, PNG, ZIP, RAR, PY, at DB file.
May kakayahan din ang malware na i-extract ang database ng Keychain (login.keychain-db) sa isang base64 na naka-encode na form. Ito ay isang secure na storage system sa mga macOS system na nagtataglay ng mga password, pribadong key, at certificate ng mga user, na ini-encrypt ang mga ito gamit ang kanilang login password. Ang tampok ay maaaring awtomatikong magpasok ng mga kredensyal sa pag-log in sa mga web page at app.
Panghuli, maaaring mangolekta ang MacStealer ng impormasyon ng system, impormasyon ng password ng Keychain, at magnakaw ng mga wallet ng cryptocurrency mula sa maraming crypto-wallet - Coinomi, Exodus, MetaMask, Martian Wallet, Phantom, Tron, Trust wallet, Keplr Wallet, at Binance. Ang lahat ng mga tampok na ito ay gumagawa ng MacStealer na isang lubhang mapanganib at may kinalaman sa malware para sa mga gumagamit ng Mac.
Ang Daloy ng Operasyon ng MacStealer Malware
Ang MacStealer ay ipinamahagi ng mga aktor ng pagbabanta bilang isang unsigned DMG file. Ang file ay inilaan upang itago bilang isang bagay na lehitimo o kanais-nais na linlangin ang biktima sa pagpapatupad nito sa kanilang macOS system. Kapag naisagawa na ng biktima ang file, lalabas ang isang pekeng password prompt, na nagpapatakbo ng command na nagbibigay-daan sa malware na mangolekta ng mga password mula sa nakompromisong makina.
Pagkatapos makolekta ang mga password, magpapatuloy ang MacStealer upang mangolekta ng iba pang sensitibong data, tulad ng mga password ng account, cookies, mga detalye ng credit card, mga wallet ng cryptocurrency, at mga potensyal na sensitibong file. Pagkatapos ay iniimbak nito ang lahat ng data na ito sa isang ZIP file, na ipinapadala sa mga malalayong Command-and-Control server upang makolekta sa ibang pagkakataon ng aktor ng pagbabanta.
Kasabay nito, ang MacStealer ay nagpapadala ng partikular na pangunahing impormasyon sa isang paunang na-configure na Telegram channel, na nagbibigay-daan sa aktor ng pagbabanta na mabilis na maabisuhan sa tuwing nanakaw ang bagong data at i-download ang ZIP file.
Habang ang karamihan sa mga pagpapatakbo ng Malware-as-a-Service (MaaS) ay nagta-target sa mga user ng Windows, ang macOS ay hindi immune sa naturang mga banta. Samakatuwid, mahalaga para sa mga gumagamit ng macOS na manatiling mapagbantay at maiwasan ang pag-install ng mga file mula sa mga hindi mapagkakatiwalaang website. Bukod pa rito, dapat panatilihing napapanahon ng mga user ang kanilang mga operating system at software ng seguridad upang maprotektahan laban sa mga pinakabagong banta.