MacStealer

بدافزاری که به تازگی کشف شده به نام MacStealer تهدیدی برای کاربران سیستم عامل مک اپل است. این بدافزار خاص برای سرقت اطلاعات حساس از قربانیان خود طراحی شده است، از جمله اعتبار iCloud KeyChain، اطلاعات ورود به مرورگر وب، کیف پول‌های ارزهای دیجیتال و فایل‌های بالقوه مهم دیگر.

چیزی که MacStealer را به ویژه نگران کننده می کند این است که به عنوان یک پلتفرم "Malware-as-a-Service" (MaaS) توزیع می شود، به این معنی که توسعه دهنده ساخت های از پیش ساخته شده از بدافزار را برای فروش به دیگرانی که مایل به گسترش بیشتر آن هستند ارائه می دهد. . این بیلدهای از پیش ساخته شده برای خرید با قیمت 100 دلار در دسترس هستند، و این کار را برای عوامل مخرب آسان تر می کند تا بدافزار را در کمپین های خود بگنجانند.

به گفته محققان Uptycs، که برای اولین بار MacStealer را کشف کردند، این تهدید می‌تواند روی macOS Catalina (10.15) و همه نسخه‌ها تا آخرین نسخه، Ventura (13.2) اجرا شود. این بدان معنی است که تقریباً همه کاربران مک به طور بالقوه در برابر این بدافزار آسیب پذیر هستند.

MacStealer می تواند طیف گسترده ای از اطلاعات حساس را در معرض خطر قرار دهد

MacStealer بدافزاری است که در یک انجمن غیرقانونی Dark Web کشف شده است، جایی که توسعه دهنده آن را تبلیغ می کند. فروشنده ادعا می کند که این بدافزار هنوز در مرحله اولیه توسعه بتا است و به همین دلیل هیچ پنل یا سازنده ای ارائه نمی دهد. در عوض، این بدافزار به‌عنوان محموله‌های از پیش ساخته شده DMG فروخته می‌شود که می‌توانند macOS Catalina، Big Sur، Monterey و Ventura را آلوده کنند.

بازیگر تهدید بیان می کند که تهدید به دلیل عدم وجود سازنده یا پنل بسیار کم فروخته می شود اما قول می دهد که به زودی ویژگی های پیشرفته تری اضافه شود. به گفته سازنده، MacStealer قادر به سرقت طیف گسترده ای از داده های حساس از سیستم های در معرض خطر است.

به عنوان مثال، MacStealer طبق گزارش‌ها می‌تواند رمزهای عبور حساب، کوکی‌ها و جزئیات کارت اعتباری را از مرورگرهای وب محبوب مانند Firefox، Chrome و Brave به سرقت ببرد. علاوه بر این، می‌تواند انواع مختلفی از فایل‌ها، از جمله فایل‌های DOC، DOCX، PDF، TXT، XLS، XLSX، PPT، PPTX، CSV، BMP، MP3، JPG، PNG، ZIP، RAR، PY و DB را استخراج کند.

این بدافزار همچنین قادر است پایگاه داده Keychain (login.keychain-db) را به صورت کدگذاری شده base64 استخراج کند. این یک سیستم ذخیره‌سازی امن در سیستم‌های macOS است که رمزهای عبور، کلیدهای خصوصی و گواهی‌های کاربران را نگه می‌دارد و آنها را با رمز ورود به سیستم رمزگذاری می‌کند. این ویژگی می تواند به طور خودکار اطلاعات ورود به سیستم را در صفحات وب و برنامه ها وارد کند.

در نهایت، MacStealer می‌تواند اطلاعات سیستم، اطلاعات رمز عبور Keychain را جمع‌آوری کند و کیف پول‌های ارزهای دیجیتال را از کیف‌پول‌های رمزنگاری متعدد - Coinomi، Exodus، MetaMask، Martian Wallet، Phantom، Tron، Trust Wallet، Keplr Wallet و Binance به سرقت ببرد. همه این ویژگی ها MacStealer را به یک بدافزار بسیار خطرناک و نگران کننده برای کاربران مک تبدیل می کند.

جریان عملیاتی بدافزار MacStealer

MacStealer توسط عوامل تهدید به عنوان یک فایل DMG بدون امضا توزیع می شود. در نظر گرفته شده است که این فایل به عنوان چیزی قانونی یا مطلوب پنهان شود تا قربانی را فریب دهد تا آن را در سیستم macOS خود اجرا کند. هنگامی که قربانی فایل را اجرا می کند، یک اعلان رمز عبور جعلی ظاهر می شود، که دستوری را اجرا می کند که بدافزار را قادر می سازد تا رمزهای عبور را از دستگاه در معرض خطر جمع آوری کند.

پس از جمع‌آوری رمزهای عبور، MacStealer به جمع‌آوری داده‌های حساس دیگر مانند رمزهای عبور حساب، کوکی‌ها، جزئیات کارت اعتباری، کیف پول‌های ارزهای دیجیتال و فایل‌های بالقوه حساس اقدام می‌کند. سپس تمام این داده ها را در یک فایل ZIP ذخیره می کند که به سرورهای کنترل و فرمان از راه دور ارسال می شود تا بعداً توسط عامل تهدید جمع آوری شود.

همزمان، MacStealer اطلاعات اولیه خاصی را به یک کانال تلگرامی از پیش پیکربندی شده ارسال می‌کند، که به عامل تهدید اجازه می‌دهد هر بار که داده‌های جدید به سرقت می‌رود و فایل ZIP را دانلود کند، سریعاً مطلع شود.

در حالی که اکثر عملیات‌های بدافزار به عنوان سرویس (MaaS) کاربران ویندوز را هدف قرار می‌دهند، macOS از چنین تهدیداتی مصون نیست. بنابراین، برای کاربران macOS مهم است که مراقب باشند و از نصب فایل‌ها از وب‌سایت‌های غیرقابل اعتماد خودداری کنند. علاوه بر این، کاربران باید سیستم عامل و نرم افزار امنیتی خود را برای محافظت در برابر آخرین تهدیدات به روز نگه دارند.