MacStealer

En nylig opdaget malware kendt som MacStealer udgør en trussel mod brugere af Apples Mac-operativsystem. Denne særlige malware er designet til at stjæle følsomme oplysninger fra dens ofre, herunder deres iCloud KeyChain-legitimationsoplysninger, webbrowser-loginoplysninger, kryptovaluta-punge og potentielt andre vigtige filer.

Det, der gør MacStealer, især bekymrende, er, at den bliver distribueret som en 'Malware-as-a-Service' (MaaS) platform, hvilket betyder, at udvikleren tilbyder præfabrikerede builds af malwaren til salg til andre, der ønsker at sprede den yderligere . Disse forudlavede builds kan købes for $100, hvilket gør det nemmere for ondsindede aktører at inkorporere malwaren i deres egne kampagner.

Ifølge forskerne hos Uptycs, som først opdagede MacStealer, er truslen i stand til at køre på macOS Catalina (10.15) og alle versioner op til den seneste, Ventura (13.2). Det betyder, at stort set alle Mac-brugere er potentielt sårbare over for denne malware.

MacStealer kan kompromittere en lang række følsomme oplysninger

MacStealer er malware, der blev afsløret på et ulovligt Dark Web-forum, hvor udvikleren har promoveret det. Sælgeren hævder, at malwaren stadig er i sin tidlige beta-udviklingsfase og som sådan ikke tilbyder nogen paneler eller bygherrer. I stedet sælges malwaren som forudbyggede DMG-nyttelaster, der er i stand til at inficere macOS Catalina, Big Sur, Monterey og Ventura.

Trusselsaktøren oplyser, at truslen bliver solgt for så lavt på grund af manglen på en bygherre eller panel, men lover, at mere avancerede funktioner snart vil blive tilføjet. Ifølge udvikleren er MacStealer i stand til at stjæle en lang række følsomme data fra kompromitterede systemer.

For eksempel kan MacStealer efter sigende stjæle kontoadgangskoder, cookies og kreditkortoplysninger fra populære webbrowsere som Firefox, Chrome og Brave. Derudover kan den udtrække adskillige typer filer, herunder DOC, DOCX, PDF, TXT, XLS, XLSX, PPT, PPTX, CSV, BMP, MP3, JPG, PNG, ZIP, RAR, PY og DB-filer.

Malwaren er også i stand til at udtrække nøgleringsdatabasen (login.keychain-db) i en base64-kodet form. Dette er et sikkert lagersystem i macOS-systemer, der rummer brugernes adgangskoder, private nøgler og certifikater og krypterer dem med deres login-adgangskode. Funktionen kan automatisk indtaste loginoplysninger på websider og apps.

Endelig kan MacStealer indsamle systemoplysninger, nøglering adgangskodeoplysninger og stjæle cryptocurrency-punge fra adskillige crypto-wallets - Coinomi, Exodus, MetaMask, Martian Wallet, Phantom, Tron, Trust wallet, Keplr Wallet og Binance. Alle disse funktioner gør MacStealer til en yderst farlig og bekymrende malware for Mac-brugere.

Det operationelle flow af MacStealer Malware

MacStealer distribueres af trusselsaktørerne som en usigneret DMG-fil. Filen er beregnet til at være forklædt som noget legitimt eller ønskværdigt for at narre offeret til at udføre det på deres macOS-system. Når offeret eksekverer filen, vises en falsk adgangskodeprompt, som kører en kommando, der gør det muligt for malwaren at indsamle adgangskoder fra den kompromitterede maskine.

Efter adgangskoderne er indsamlet, fortsætter MacStealer med at indsamle andre følsomme data, såsom kontoadgangskoder, cookies, kreditkortoplysninger, cryptocurrency-punge og potentielt følsomme filer. Den gemmer derefter alle disse data i en ZIP-fil, som sendes til fjernkommando-og-kontrol-servere for senere at blive indsamlet af trusselsaktøren.

Samtidig sender MacStealer specifikke grundlæggende oplysninger til en forudkonfigureret Telegram-kanal, som gør det muligt for trusselsaktøren hurtigt at blive underrettet hver gang nye data bliver stjålet og downloade ZIP-filen.

Mens de fleste Malware-as-a-Service-operationer (MaaS) er rettet mod Windows-brugere, er macOS ikke immun over for sådanne trusler. Derfor er det vigtigt for macOS-brugere at være på vagt og undgå at installere filer fra utroværdige websteder. Derudover bør brugere holde deres operativsystemer og sikkerhedssoftware opdateret for at beskytte mod de seneste trusler.