MacStealer
Un programari maliciós descobert recentment conegut com MacStealer suposa una amenaça per als usuaris del sistema operatiu Mac d'Apple. Aquest programari maliciós en particular ha estat dissenyat per robar informació confidencial de les seves víctimes, incloses les seves credencials d'iCloud KeyChain, la informació d'inici de sessió del navegador web, les carteres de criptomoneda i, potencialment, altres fitxers importants.
El que fa que MacStealer sigui especialment preocupant és que s'està distribuint com una plataforma "Malware-as-a-Service" (MaaS), la qual cosa significa que el desenvolupador ofereix versions prefabricades del programari maliciós per a la venda a altres persones que vulguin difondre'l encara més. . Aquestes versions prefabricades es poden comprar per 100 dòlars, cosa que facilita als actors maliciosos la incorporació del programari maliciós a les seves pròpies campanyes.
Segons els investigadors d'Uptycs, que van descobrir per primera vegada MacStealer, l'amenaça es pot executar a macOS Catalina (10.15) i totes les versions fins a la més recent, Ventura (13.2). Això significa que pràcticament tots els usuaris de Mac són potencialment vulnerables a aquest programari maliciós.
MacStealer pot comprometre una àmplia gamma d'informació sensible
MacStealer és programari maliciós que es va descobrir en un fòrum il·lícit de la web fosca, on el desenvolupador l'ha estat promocionant. El venedor afirma que el programari maliciós encara es troba en la seva primera fase de desenvolupament beta i, com a tal, no ofereix cap panell ni constructor. En canvi, el programari maliciós es ven com a càrregues útils DMG preconstruïdes que són capaços d'infectar macOS Catalina, Big Sur, Monterey i Ventura.
L'actor de l'amenaça afirma que l'amenaça es ven per tan baix a causa de la manca d'un constructor o panell, però promet que s'afegiran funcions més avançades aviat. Segons el desenvolupador, MacStealer és capaç de robar una àmplia gamma de dades sensibles de sistemes compromesos.
Per exemple, MacStealer pot robar contrasenyes del compte, galetes i dades de la targeta de crèdit dels navegadors web populars com ara Firefox, Chrome i Brave. A més, pot extreure nombrosos tipus de fitxers, com ara fitxers DOC, DOCX, PDF, TXT, XLS, XLSX, PPT, PPTX, CSV, BMP, MP3, JPG, PNG, ZIP, RAR, PY i DB.
El programari maliciós també és capaç d'extreure la base de dades Keychain (login.keychain-db) en una forma codificada en base64. Aquest és un sistema d'emmagatzematge segur als sistemes macOS que conté les contrasenyes, les claus privades i els certificats dels usuaris, xifrant-los amb la seva contrasenya d'inici de sessió. La funció pot introduir automàticament les credencials d'inici de sessió a pàgines web i aplicacions.
Finalment, MacStealer pot recopilar informació del sistema, informació sobre contrasenyes de Keychain i robar carteres de criptomoneda de nombroses carteres criptogràfiques: Coinomi, Exodus, MetaMask, Martian Wallet, Phantom, Tron, Trust wallet, Keplr Wallet i Binance. Totes aquestes funcions fan que MacStealer sigui un programari maliciós altament perillós i preocupant per als usuaris de Mac.
El flux operatiu del programari maliciós MacStealer
Els actors de l'amenaça distribueixen MacStealer com un fitxer DMG sense signar. El fitxer està pensat per disfressar-se d'alguna cosa legítima o desitjable per enganyar la víctima perquè l'executi al seu sistema macOS. Un cop la víctima executa el fitxer, apareix una sol·licitud de contrasenya falsa, que executa una ordre que permet al programari maliciós recopilar contrasenyes de la màquina compromesa.
Després de recopilar les contrasenyes, MacStealer procedeix a recopilar altres dades sensibles, com ara contrasenyes de compte, galetes, detalls de targetes de crèdit, carteres de criptomoneda i fitxers potencialment sensibles. A continuació, emmagatzema totes aquestes dades en un fitxer ZIP, que s'envia a servidors de comandament i control remots per ser recollits més tard per l'actor de l'amenaça.
Al mateix temps, MacStealer envia informació bàsica específica a un canal de Telegram preconfigurat, el que permet que l'actor d'amenaça sigui notificat ràpidament cada vegada que es roben dades noves i descarregui el fitxer ZIP.
Tot i que la majoria de les operacions de programari maliciós com a servei (MaaS) es dirigeixen als usuaris de Windows, macOS no és immune a aquestes amenaces. Per tant, és important que els usuaris de macOS estiguin vigilants i eviten instal·lar fitxers de llocs web no fiables. A més, els usuaris han de mantenir els seus sistemes operatius i programari de seguretat actualitzats per protegir-se de les últimes amenaces.
