MacStealer

Наскоро открит зловреден софтуер, известен като MacStealer, представлява заплаха за потребителите на операционната система Mac на Apple. Този конкретен злонамерен софтуер е проектиран да краде чувствителна информация от своите жертви, включително техните идентификационни данни за iCloud KeyChain, информация за влизане в уеб браузъра, портфейли за криптовалута и потенциално други важни файлове.

Това, което прави MacStealer особено тревожно, е, че той се разпространява като платформа „Malware-as-a-Service“ (MaaS), което означава, че разработчикът предлага готови компилации на злонамерения софтуер за продажба на други, които желаят да го разпространят допълнително . Тези готови компилации са достъпни за закупуване за $100, което улеснява злонамерените участници да включат злонамерения софтуер в собствените си кампании.

Според изследователите от Uptycs, които първи откриха MacStealer, заплахата може да работи на macOS Catalina (10.15) и всички версии до най-новата, Ventura (13.2). Това означава, че почти всички потребители на Mac са потенциално уязвими към този зловреден софтуер.

MacStealer може да компрометира широка гама от чувствителна информация

MacStealer е зловреден софтуер, който беше открит в незаконен форум на Dark Web, където разработчикът го популяризира. Продавачът твърди, че зловредният софтуер все още е в ранна бета фаза на разработка и като такъв не предлага панели или създатели. Вместо това злонамереният софтуер се продава като предварително изградени DMG полезни натоварвания, които могат да заразят macOS Catalina, Big Sur, Monterey и Ventura.

Актьорът на заплахата заявява, че заплахата се продава на толкова ниска цена поради липсата на създател или панел, но обещава, че скоро ще бъдат добавени по-разширени функции. Според разработчика MacStealer е в състояние да открадне широк набор от чувствителни данни от компрометирани системи.

Например MacStealer може да открадне пароли за акаунти, бисквитки и данни за кредитни карти от популярни уеб браузъри като Firefox, Chrome и Brave. Освен това може да извлича множество типове файлове, включително DOC, DOCX, PDF, TXT, XLS, XLSX, PPT, PPTX, CSV, BMP, MP3, JPG, PNG, ZIP, RAR, PY и DB файлове.

Зловреден софтуер също така може да извлича базата данни Keychain (login.keychain-db) в кодирана base64 форма. Това е сигурна система за съхранение в системи macOS, която съхранява пароли, частни ключове и сертификати на потребителите, като ги шифрова с тяхната парола за вход. Функцията може автоматично да въвежда идентификационни данни за вход в уеб страници и приложения.

И накрая, MacStealer може да събира системна информация, информация за паролата на Keychain и да краде портфейли за криптовалута от множество крипто-портфейли - Coinomi, Exodus, MetaMask, Martian Wallet, Phantom, Tron, Trust wallet, Keplr Wallet и Binance. Всички тези функции правят MacStealer изключително опасен и опасен злонамерен софтуер за потребителите на Mac.

Оперативният поток на зловредния софтуер MacStealer

MacStealer се разпространява от участниците в заплахата като неподписан DMG файл. Файлът е предназначен да бъде маскиран като нещо легитимно или желано, за да подмами жертвата да го изпълни на своята macOS система. След като жертвата изпълни файла, се появява подкана за фалшива парола, която изпълнява команда, която позволява на злонамерения софтуер да събира пароли от компрометираната машина.

След като паролите бъдат събрани, MacStealer продължава да събира други чувствителни данни, като пароли за акаунти, бисквитки, данни за кредитни карти, портфейли за криптовалута и потенциално чувствителни файлове. След това съхранява всички тези данни в ZIP файл, който се изпраща до отдалечени командно-контролни сървъри, за да бъдат събрани по-късно от заплахата.

В същото време MacStealer изпраща специфична основна информация към предварително конфигуриран канал на Telegram, което позволява на заплахата да бъде бързо уведомен всеки път, когато бъдат откраднати нови данни и да изтегли ZIP файла.

Докато повечето операции на Malware-as-a-Service (MaaS) са насочени към потребителите на Windows, macOS не е имунизиран срещу подобни заплахи. Ето защо е важно потребителите на macOS да бъдат бдителни и да избягват инсталирането на файлове от ненадеждни уебсайтове. Освен това потребителите трябва да поддържат своите операционни системи и софтуер за сигурност актуални, за да се предпазят от най-новите заплахи.