MacStealer

Hiljuti avastatud pahavara, mida tuntakse nime all MacStealer, ohustab Apple'i Maci operatsioonisüsteemi kasutajaid. See konkreetne pahavara on loodud selleks, et varastada ohvritelt tundlikku teavet, sealhulgas nende iCloud KeyChaini mandaate, veebibrauseri sisselogimisandmeid, krüptovaluuta rahakotte ja potentsiaalselt muid olulisi faile.

MacStealeri teeb eriti murettekitavaks see, et seda levitatakse platvormina „Pahavara teenusena” (MaaS), mis tähendab, et arendaja pakub pahavara eelversioone müügiks teistele, kes soovivad seda edasi levitada. . Neid valmisversioone saab osta 100 dollari eest, mistõttu on pahatahtlikel osalejatel lihtsam pahavara oma kampaaniatesse kaasata.

MacStealeri esmalt avastanud Uptycsi teadlaste sõnul on oht töötada macOS Catalina (10.15) ja kõigi versioonideni kuni uusima Ventura (13.2) versioonini. See tähendab, et peaaegu kõik Maci kasutajad on selle pahavara suhtes potentsiaalselt haavatavad.

MacStealer võib ohustada laia valikut tundlikku teavet

MacStealer on pahavara, mis avastati Dark Webi ebaseaduslikus foorumis, kus arendaja on seda reklaaminud. Müüja väidab, et pahavara on alles varajases beeta arendusfaasis ja seetõttu ei paku ta paneele ega ehitajaid. Selle asemel müüakse pahavara eelehitatud DMG-koormustena, mis on võimelised nakatama macOS Catalina, Big Suri, Monterey ja Ventura.

Ohunäitleja nendib, et ohtu müüakse nii odavalt ehitaja või paneeli puudumise tõttu, kuid lubab, et peagi lisatakse täiendavaid funktsioone. Arendaja sõnul on MacStealer võimeline ohustatud süsteemidest varastama mitmesuguseid tundlikke andmeid.

Näiteks võib MacStealer väidetavalt varastada populaarsete veebibrauserite (nt Firefox, Chrome ja Brave) konto paroole, küpsiseid ja krediitkaardiandmeid. Lisaks saab see välja võtta mitut tüüpi faile, sealhulgas DOC-, DOCX-, PDF-, TXT-, XLS-, XLSX-, PPT-, PPTX-, CSV-, BMP-, MP3-, JPG-, PNG-, ZIP-, RAR-, PY- ja DB-faile.

Pahavara on võimeline välja võtma ka võtmehoidja andmebaasi (login.keychain-db) base64 kodeeritud kujul. See on turvaline salvestussüsteem macOS-süsteemides, mis hoiab kasutajate paroole, privaatvõtmeid ja sertifikaate, krüpteerides need sisselogimisparooliga. Funktsioon suudab automaatselt sisestada veebilehtedele ja rakendustesse sisselogimismandaadid.

Lõpuks saab MacStealer koguda süsteemiteavet, võtmehoidja parooliteavet ja varastada krüptoraha rahakotte paljudest krüptorahakottidest – Coinomi, Exodus, MetaMask, Martian Wallet, Phantom, Tron, Trust rahakott, Keplr Wallet ja Binance. Kõik need funktsioonid muudavad MacStealeri Maci kasutajatele väga ohtlikuks ja murettekitavaks pahavaraks.

MacStealeri pahavara töövoog

Ohutegijad levitavad MacStealerit allkirjastamata DMG-failina. Fail on mõeldud maskeerimiseks millekski legitiimseks või soovitavaks, et meelitada ohvrit seda oma macOS-süsteemis käivitama. Kui ohver faili käivitab, kuvatakse võltsparooli viip, mis käivitab käsu, mis võimaldab pahavaral rünnatud masinast paroole koguda.

Pärast paroolide kogumist hakkab MacStealer koguma muid tundlikke andmeid, nagu konto paroolid, küpsised, krediitkaardi andmed, krüptovaluuta rahakotid ja potentsiaalselt tundlikud failid. Seejärel salvestab see kõik need andmed ZIP-faili, mis saadetakse kaugkäskluse ja juhtimise serveritesse, et ohutegur neid hiljem koguda.

Samal ajal saadab MacStealer konkreetse põhiteabe eelnevalt konfigureeritud Telegrami kanalile, mis võimaldab ohutegijat kiiresti teavitada iga kord, kui uusi andmeid varastatakse, ja ZIP-faili alla laadida.

Kuigi enamik õelvara teenusena (MaaS) toiminguid on suunatud Windowsi kasutajatele, pole macOS selliste ohtude suhtes immuunne. Seetõttu on oluline, et macOS-i kasutajad oleksid valvsad ja väldiksid failide installimist ebausaldusväärsetelt veebisaitidelt. Lisaks peaksid kasutajad hoidma oma operatsioonisüsteemid ja turbetarkvara ajakohasena, et kaitsta end uusimate ohtude eest.