MacStealer
最近發現的一種名為 MacStealer 的惡意軟件正在對 Apple Mac 操作系統的用戶構成威脅。這種特殊的惡意軟件旨在竊取受害者的敏感信息,包括他們的 iCloud KeyChain 憑據、網絡瀏覽器登錄信息、加密貨幣錢包和其他潛在的重要文件。
讓 MacStealer 特別擔心的是,它作為“惡意軟件即服務”(MaaS) 平台分發,這意味著開發人員正在提供惡意軟件的預製版本,以出售給希望進一步傳播它的其他人.這些預製構建可以 100 美元的價格購買,使惡意行為者更容易將惡意軟件整合到他們自己的活動中。
據最先發現 MacStealer 的 Uptycs 研究人員稱,該威脅能夠在 macOS Catalina (10.15) 和所有最新版本 Ventura (13.2) 上運行。這意味著幾乎所有 Mac 用戶都可能容易受到此惡意軟件的攻擊。
MacStealer 可以破壞範圍廣泛的敏感信息
MacStealer 是在暗網非法論壇上發現的惡意軟件,開發人員一直在該論壇上推廣它。賣家聲稱該惡意軟件仍處於早期測試開發階段,因此不提供面板或構建器。相反,該惡意軟件作為預構建的 DMG 有效載荷出售,能夠感染 macOS Catalina、Big Sur、Monterey 和 Ventura。
威脅參與者表示,由於缺少構建器或面板,威脅的售價如此之低,但承諾將很快添加更多高級功能。據開發人員稱,MacStealer 能夠從受感染的系統中竊取範圍廣泛的敏感數據。
例如,據報導,MacStealer 可以從 Firefox、Chrome 和 Brave 等流行的網絡瀏覽器中竊取帳戶密碼、cookie 和信用卡詳細信息。此外,它還可以提取多種類型的文件,包括 DOC、DOCX、PDF、TXT、XLS、XLSX、PPT、PPTX、CSV、BMP、MP3、JPG、PNG、ZIP、RAR、PY 和 DB 文件。
該惡意軟件還能夠以 base64 編碼形式提取鑰匙串數據庫 (login.keychain-db)。這是 macOS 系統中的一個安全存儲系統,用於保存用戶的密碼、私鑰和證書,並使用登錄密碼對其進行加密。該功能可以自動在網頁和應用程序上輸入登錄憑據。
最後,MacStealer 可以收集系統信息、Keychain 密碼信息,並從眾多加密錢包中竊取加密錢包——Coinomi、Exodus、MetaMask、Martian Wallet、Phantom、Tron、Trust wallet、Keplr Wallet 和 Binance。所有這些功能使 MacStealer 成為 Mac 用戶高度危險且令人擔憂的惡意軟件。
MacStealer 惡意軟件的操作流程
MacStealer 由威脅參與者作為未簽名的 DMG 文件分發。該文件旨在偽裝成合法或可取的東西,以誘騙受害者在其 macOS 系統上執行它。一旦受害者執行該文件,就會出現一個偽造的密碼提示,它會運行一個命令,使惡意軟件能夠從受感染的機器上收集密碼。
收集密碼後,MacStealer 會繼續收集其他敏感數據,例如帳戶密碼、cookie、信用卡詳細信息、加密貨幣錢包和潛在的敏感文件。然後它將所有這些數據存儲在一個 ZIP 文件中,該文件被發送到遠程命令和控制服務器,稍後由威脅參與者收集。
同時,MacStealer 將特定的基本信息發送到預先配置的 Telegram 通道,這使得威脅行為者可以在每次新數據被盜並下載 ZIP 文件時快速得到通知。
雖然大多數惡意軟件即服務 (MaaS) 操作都針對 Windows 用戶,但 macOS 也不能倖免於此類威脅。因此,對於 macOS 用戶來說,保持警惕並避免從不可信的網站安裝文件是很重要的。此外,用戶應保持操作系統和安全軟件為最新,以抵禦最新的威脅。