MacStealer
بدافزاری که به تازگی کشف شده به نام MacStealer تهدیدی برای کاربران سیستم عامل مک اپل است. این بدافزار خاص برای سرقت اطلاعات حساس از قربانیان خود طراحی شده است، از جمله اعتبار iCloud KeyChain، اطلاعات ورود به مرورگر وب، کیف پولهای ارزهای دیجیتال و فایلهای بالقوه مهم دیگر.
چیزی که MacStealer را به ویژه نگران کننده می کند این است که به عنوان یک پلتفرم "Malware-as-a-Service" (MaaS) توزیع می شود، به این معنی که توسعه دهنده ساخت های از پیش ساخته شده از بدافزار را برای فروش به دیگرانی که مایل به گسترش بیشتر آن هستند ارائه می دهد. . این بیلدهای از پیش ساخته شده برای خرید با قیمت 100 دلار در دسترس هستند، و این کار را برای عوامل مخرب آسان تر می کند تا بدافزار را در کمپین های خود بگنجانند.
به گفته محققان Uptycs، که برای اولین بار MacStealer را کشف کردند، این تهدید میتواند روی macOS Catalina (10.15) و همه نسخهها تا آخرین نسخه، Ventura (13.2) اجرا شود. این بدان معنی است که تقریباً همه کاربران مک به طور بالقوه در برابر این بدافزار آسیب پذیر هستند.
MacStealer می تواند طیف گسترده ای از اطلاعات حساس را در معرض خطر قرار دهد
MacStealer بدافزاری است که در یک انجمن غیرقانونی Dark Web کشف شده است، جایی که توسعه دهنده آن را تبلیغ می کند. فروشنده ادعا می کند که این بدافزار هنوز در مرحله اولیه توسعه بتا است و به همین دلیل هیچ پنل یا سازنده ای ارائه نمی دهد. در عوض، این بدافزار بهعنوان محمولههای از پیش ساخته شده DMG فروخته میشود که میتوانند macOS Catalina، Big Sur، Monterey و Ventura را آلوده کنند.
بازیگر تهدید بیان می کند که تهدید به دلیل عدم وجود سازنده یا پنل بسیار کم فروخته می شود اما قول می دهد که به زودی ویژگی های پیشرفته تری اضافه شود. به گفته سازنده، MacStealer قادر به سرقت طیف گسترده ای از داده های حساس از سیستم های در معرض خطر است.
به عنوان مثال، MacStealer طبق گزارشها میتواند رمزهای عبور حساب، کوکیها و جزئیات کارت اعتباری را از مرورگرهای وب محبوب مانند Firefox، Chrome و Brave به سرقت ببرد. علاوه بر این، میتواند انواع مختلفی از فایلها، از جمله فایلهای DOC، DOCX، PDF، TXT، XLS، XLSX، PPT، PPTX، CSV، BMP، MP3، JPG، PNG، ZIP، RAR، PY و DB را استخراج کند.
این بدافزار همچنین قادر است پایگاه داده Keychain (login.keychain-db) را به صورت کدگذاری شده base64 استخراج کند. این یک سیستم ذخیرهسازی امن در سیستمهای macOS است که رمزهای عبور، کلیدهای خصوصی و گواهیهای کاربران را نگه میدارد و آنها را با رمز ورود به سیستم رمزگذاری میکند. این ویژگی می تواند به طور خودکار اطلاعات ورود به سیستم را در صفحات وب و برنامه ها وارد کند.
در نهایت، MacStealer میتواند اطلاعات سیستم، اطلاعات رمز عبور Keychain را جمعآوری کند و کیف پولهای ارزهای دیجیتال را از کیفپولهای رمزنگاری متعدد - Coinomi، Exodus، MetaMask، Martian Wallet، Phantom، Tron، Trust Wallet، Keplr Wallet و Binance به سرقت ببرد. همه این ویژگی ها MacStealer را به یک بدافزار بسیار خطرناک و نگران کننده برای کاربران مک تبدیل می کند.
جریان عملیاتی بدافزار MacStealer
MacStealer توسط عوامل تهدید به عنوان یک فایل DMG بدون امضا توزیع می شود. در نظر گرفته شده است که این فایل به عنوان چیزی قانونی یا مطلوب پنهان شود تا قربانی را فریب دهد تا آن را در سیستم macOS خود اجرا کند. هنگامی که قربانی فایل را اجرا می کند، یک اعلان رمز عبور جعلی ظاهر می شود، که دستوری را اجرا می کند که بدافزار را قادر می سازد تا رمزهای عبور را از دستگاه در معرض خطر جمع آوری کند.
پس از جمعآوری رمزهای عبور، MacStealer به جمعآوری دادههای حساس دیگر مانند رمزهای عبور حساب، کوکیها، جزئیات کارت اعتباری، کیف پولهای ارزهای دیجیتال و فایلهای بالقوه حساس اقدام میکند. سپس تمام این داده ها را در یک فایل ZIP ذخیره می کند که به سرورهای کنترل و فرمان از راه دور ارسال می شود تا بعداً توسط عامل تهدید جمع آوری شود.
همزمان، MacStealer اطلاعات اولیه خاصی را به یک کانال تلگرامی از پیش پیکربندی شده ارسال میکند، که به عامل تهدید اجازه میدهد هر بار که دادههای جدید به سرقت میرود و فایل ZIP را دانلود کند، سریعاً مطلع شود.
در حالی که اکثر عملیاتهای بدافزار به عنوان سرویس (MaaS) کاربران ویندوز را هدف قرار میدهند، macOS از چنین تهدیداتی مصون نیست. بنابراین، برای کاربران macOS مهم است که مراقب باشند و از نصب فایلها از وبسایتهای غیرقابل اعتماد خودداری کنند. علاوه بر این، کاربران باید سیستم عامل و نرم افزار امنیتی خود را برای محافظت در برابر آخرین تهدیدات به روز نگه دارند.