Miolab Stealer
Miolab, известен още като Nova, е усъвършенстван инструмент за кражба на информация, специално разработен за потребители на macOS. Разпространява се чрез хакерски форуми по модела Malware-as-a-Service (MaaS), който позволява на киберпрестъпниците да имат достъп до мощен набор от инструменти, без да е необходима задълбочена техническа експертиза. Зловредният софтуер е способен да извлича чувствителни данни от разширения на портфейли за криптовалута, уеб браузъри и различни приложения за управление, като същевременно събира файлове директно от компрометирани системи. Незабавното премахване при откриване е от решаващо значение, за да се минимизират щетите.
Съдържание
Проектиран за ефективност, създаден за избягване
Miolab не е обикновен крадец на вируси; той интегрира централизиран контролен панел и инструменти за управление на атаки, които значително повишават нивото на заплаха. Тази инфраструктура позволява дори на нискоквалифицирани нападатели да изпълняват сложни кампании. Неговата лека и оптимизирана архитектура подобрява разпространението, осигурява постоянна производителност в различни macOS среди и помага за избягване на традиционните механизми за откриване.
Командване и контрол: Опростено управление на атаките
Вграденият контролен панел предоставя на нападателите структуриран преглед на компрометираните жертви, включително географски данни и събрана информация. Той включва и функционалност за повторно използване на откраднати сесии за удостоверяване на Google, което позволява неоторизиран достъп до акаунти без изискване на пароли или директно заобикаляне на двуфакторното удостоверяване.
Освен това, Miolab поддържа внедряването на злонамерени страници за разпространение и методи за атака в стил ClickFix. Операторите се възползват от известия в реално време чрез Telegram и могат да автоматизират различни етапи от своите кампании, увеличавайки оперативната ефективност и мащаба.
Възможности за извличане на данни от браузър и криптовалута
Miolab агресивно атакува съхранявани в браузъра данни, извличайки идентификационни данни и информация, свързана със сесиите, които могат да бъдат използвани за по-нататъшно компрометиране. Обхватът му се простира както в масови, така и в нишови браузъри, което значително разширява площта на въздействието му.
- Събираните чувствителни данни от браузъра включват запазени пароли, „бисквитки“, история на сърфиране и данни за автоматично попълване, като имейли и адреси
- Артефакти за удостоверяване, като например токени на Google и бисквитки на Safari, също се събират
Целевите браузъри включват Chrome, Edge, Firefox, Arc, Brave, Librewolf, Opera, Opera GX, SeaMonkey, Tor Browser, Vivaldi, Waterfox, Yandex и Coc Coc - Освен браузърите, Miolab се фокусира основно върху криптовалутните активи, като извлича файлове като .dat, .key и .keys от над 200 разширения за портфейли. Той е насочен и към приложения, използвани за управление на хардуерни портфейли, което позволява кражба на критични данни за възстановяване.
- Целевите крипто инструменти включват Atomic Wallet, Binance, Bitcoin, DashCore, Dogecoin, Electrum, Exodus, Guarda, Litecoin, Monero, Tonkeeper и Wasabi Wallet.
- Приложения като Ledger Live, Ledger Wallet и Trezor Suite са специално насочени към извличане на 24-словни фрази за възстановяване.
Отвъд браузърите: Съобщения и локална експлоатация на данни
Зловредният софтуер разширява обхвата си в приложения за комуникация и продуктивност. Той може да отвлича активни сесии от платформи като Telegram и Discord, предоставяйки на нападателите достъп до акаунти без идентификационни данни. Той също така проверява Apple Notes, често срещано място, където потребителите могат неволно да съхраняват чувствителна информация като пароли или фрази за възстановяване на криптовалута.
След като събирането на данни приключи, Miolab компресира открадната информация в ZIP архив и я извлича чрез HTTP. За да прикрие дейността си, показва подвеждащо съобщение за грешка в macOS, което показва, че приложението не може да се стартира.
Въздействие: Реалната цена на инфекцията
Инфекцията с Miolab може да доведе до тежки последици. Жертвите могат да претърпят финансови загуби поради открадната криптовалута, неоторизиран достъп до акаунт, кражба на самоличност, увреждане на репутацията и възможност за по-нататъшни инфекции със зловреден софтуер, произтичащи от първоначалната компрометация.
Верига на заразяване: Социално инженерство в основата си
Miolab разчита до голяма степен на измама, за да проникне в системите. Киберпрестъпниците го разпространяват чрез фалшиви приложения за macOS, пакетирани като файлове с образ на диск (.DMG), внимателно изработени, за да наподобяват легитимен софтуер. Тези инсталатори често използват убедително брандиране, икони и потребителски интерфейси, за да увеличат доверието.
След като бъде изпълнен, зловредният софтуер инициира многоетапен процес на заразяване. Той представя фалшив интерфейс за инсталиране, подканващ потребителите да заобиколят предупрежденията за сигурност, като щракнат с десния бутон на мишката и изберат „Отвори“. След това се опитва да прекрати приложението Terminal, за да ограничи видимостта на действията му. Показва се подкана за въвеждане на фалшива парола за macOS, подвеждайки потребителите да предоставят системните си идентификационни данни.
След валидиране на паролата, Miolab събира информация на системно ниво, включително хардуерни спецификации и софтуерни конфигурации. Програмата продължава със сканирането на ключови директории като „Работен плот“, „Документи“ и „Изтегляния“, като се насочва към файлове като документи, електронни таблици, PDF файлове и данни, свързани с пароли. По време на този процес потребителите могат да срещнат заявки за разрешения, докато зловредният софтуер тихо обобщава и подготвя събраните данни за извличане.
