MacStealer
Nedávno objevený malware známý jako MacStealer představuje hrozbu pro uživatele operačního systému Mac společnosti Apple. Tento konkrétní malware byl navržen tak, aby ukradl citlivé informace od svých obětí, včetně jejich přihlašovacích údajů iCloud KeyChain, přihlašovacích údajů webového prohlížeče, kryptoměnových peněženek a potenciálně dalších důležitých souborů.
Co dělá MacStealer obzvláště znepokojivé, je to, že je distribuován jako platforma „Malware-as-a-Service“ (MaaS), což znamená, že vývojář nabízí předem připravená sestavení malwaru k prodeji ostatním, kteří jej chtějí šířit dále. . Tyto předpřipravené sestavení jsou k dispozici ke koupi za 100 USD, což usnadňuje zlomyslným aktérům začlenění malwaru do jejich vlastních kampaní.
Podle výzkumníků z Uptycs, kteří jako první objevili MacStealer, je hrozba schopna běžet na macOS Catalina (10.15) a všech verzích až po nejnovější, Ventura (13.2). To znamená, že prakticky všichni uživatelé počítačů Mac jsou potenciálně zranitelní vůči tomuto malwaru.
MacStealer může kompromitovat širokou škálu citlivých informací
MacStealer je malware, který byl odhalen na nelegálním fóru Dark Web, kde jej vývojář propaguje. Prodejce tvrdí, že malware je stále ve své rané beta fázi vývoje a jako takový nenabízí žádné panely ani stavitele. Místo toho se malware prodává jako předpřipravené datové části DMG, které jsou schopny infikovat macOS Catalina, Big Sur, Monterey a Ventura.
Aktér hrozby uvádí, že hrozba se prodává za tak nízkou cenu kvůli nedostatku stavitele nebo panelu, ale slibuje, že brzy budou přidány pokročilejší funkce. Podle vývojáře je MacStealer schopen ukrást širokou škálu citlivých dat z kompromitovaných systémů.
Například MacStealer může údajně ukrást hesla k účtům, soubory cookie a podrobnosti o kreditních kartách z oblíbených webových prohlížečů, jako jsou Firefox, Chrome a Brave. Kromě toho dokáže extrahovat řadu typů souborů, včetně souborů DOC, DOCX, PDF, TXT, XLS, XLSX, PPT, PPTX, CSV, BMP, MP3, JPG, PNG, ZIP, RAR, PY a DB.
Malware je také schopen extrahovat databázi Keychain (login.keychain-db) v zakódované formě base64. Jedná se o bezpečný úložný systém v systémech macOS, který uchovává uživatelská hesla, soukromé klíče a certifikáty a šifruje je jejich přihlašovacím heslem. Tato funkce může automaticky zadávat přihlašovací údaje na webové stránky a aplikace.
A konečně, MacStealer může shromažďovat systémové informace, informace o heslech Keychain a krást kryptoměnové peněženky z mnoha krypto-peněženek – Coinomi, Exodus, MetaMask, Marťanská peněženka, Phantom, Tron, Trust peněženka, Keplr Wallet a Binance. Všechny tyto funkce dělají MacStealer vysoce nebezpečným malwarem pro uživatele Mac.
Provozní tok malwaru MacStealer
MacStealer je distribuován aktéry hrozeb jako nepodepsaný soubor DMG. Soubor je určen k tomu, aby byl maskován jako něco legitimního nebo žádoucího, aby bylo možné přimět oběť, aby jej spustila na svém systému macOS. Jakmile oběť spustí soubor, objeví se výzva k zadání falešného hesla, která spustí příkaz, který umožní malwaru sbírat hesla z napadeného počítače.
Poté, co jsou hesla shromážděna, MacStealer pokračuje ve shromažďování dalších citlivých dat, jako jsou hesla účtů, soubory cookie, údaje o kreditních kartách, peněženky s kryptoměnami a potenciálně citlivé soubory. Poté ukládá všechna tato data do souboru ZIP, který je odeslán na vzdálené servery Command-and-Control, aby je později shromáždil aktér hrozby.
MacStealer zároveň odesílá konkrétní základní informace na předem nakonfigurovaný kanál telegramu, což umožňuje aktérovi hrozby rychle upozornit na každou krádež nových dat a stáhnout si soubor ZIP.
Zatímco většina operací Malware-as-a-Service (MaaS) cílí na uživatele Windows, macOS není vůči takovým hrozbám imunní. Proto je důležité, aby uživatelé macOS zůstali ostražití a vyhýbali se instalaci souborů z nedůvěryhodných webů. Uživatelé by navíc měli udržovat své operační systémy a bezpečnostní software aktuální, aby byli chráněni před nejnovějšími hrozbami.
