Miolab Stealer

Miolab که با نام Nova نیز شناخته می‌شود، یک دزد اطلاعات پیشرفته است که به طور خاص برای هدف قرار دادن کاربران macOS طراحی شده است. این بدافزار که از طریق انجمن‌های هکرها تحت مدل Malware-as-a-Service (MaaS) توزیع می‌شود، مجرمان سایبری را قادر می‌سازد تا بدون نیاز به تخصص فنی عمیق، به یک ابزار قدرتمند دسترسی پیدا کنند. این بدافزار قادر به استخراج داده‌های حساس از افزونه‌های کیف پول ارزهای دیجیتال، مرورگرهای وب و برنامه‌های مدیریتی مختلف است، ضمن اینکه فایل‌ها را مستقیماً از سیستم‌های آسیب‌دیده جمع‌آوری می‌کند. حذف فوری پس از شناسایی برای به حداقل رساندن آسیب بسیار مهم است.

طراحی شده برای کارایی، ساخته شده برای گریز

Miolab یک دزدگیر ساده نیست؛ این بدافزار یک پنل کنترل متمرکز و ابزارهای مدیریت حمله را ادغام می‌کند که سطح تهدید آن را به طور قابل توجهی افزایش می‌دهد. این زیرساخت حتی به مهاجمان کم‌مهارت نیز اجازه می‌دهد تا کمپین‌های پیچیده‌ای را اجرا کنند. معماری سبک و بهینه‌شده آن، انتشار را بهبود می‌بخشد، عملکرد ثابتی را در محیط‌های مختلف macOS تضمین می‌کند و به فرار از مکانیسم‌های تشخیص سنتی کمک می‌کند.

فرماندهی و کنترل: مدیریت حمله ساده شده است

پنل کنترل داخلی، نمای کلی ساختاریافته‌ای از قربانیان هک‌شده، شامل داده‌های جغرافیایی و اطلاعات جمع‌آوری‌شده، را در اختیار مهاجمان قرار می‌دهد. همچنین شامل قابلیت استفاده مجدد از جلسات احراز هویت گوگل سرقت‌شده، امکان دسترسی غیرمجاز به حساب کاربری بدون نیاز به رمز عبور یا دور زدن مستقیم احراز هویت دو مرحله‌ای است.

علاوه بر این، Miolab از استقرار صفحات توزیع مخرب و روش‌های حمله به سبک ClickFix پشتیبانی می‌کند. اپراتورها از اعلان‌های بلادرنگ از طریق تلگرام بهره‌مند می‌شوند و می‌توانند مراحل مختلف کمپین‌های خود را خودکار کنند و کارایی و مقیاس عملیاتی را افزایش دهند.

قابلیت‌های استخراج داده‌های مرورگر و ارزهای دیجیتال

Miolab به شدت داده‌های ذخیره شده در مرورگر را هدف قرار می‌دهد و اطلاعات مربوط به اعتبارنامه‌ها و جلسات را استخراج می‌کند که می‌تواند برای نفوذ بیشتر مورد استفاده قرار گیرد. دامنه نفوذ آن در مرورگرهای اصلی و خاص گسترش یافته و به طور قابل توجهی سطح تأثیر آن را گسترش می‌دهد.

• داده‌های حساس مرورگر جمع‌آوری‌شده شامل رمزهای عبور ذخیره‌شده، کوکی‌ها، سابقه مرور و جزئیات تکمیل خودکار مانند ایمیل‌ها و آدرس‌ها می‌شود.
• مصنوعات احراز هویت مانند توکن‌های گوگل و کوکی‌های سافاری نیز جمع‌آوری می‌شوند.
  مرورگرهای هدف شامل کروم، اج، فایرفاکس، آرک، بریو، لیبروولف، اپرا، اپرا جی‌ایکس، سی‌مانکی، مرورگر تور، ویوالدی، واترفاکس، یاندکس و کوک کوک هستند.
• فراتر از مرورگرها، Miolab با استخراج فایل‌هایی مانند .dat، .key و .keys از بیش از ۲۰۰ افزونه کیف پول، به شدت بر دارایی‌های ارز دیجیتال تمرکز دارد. همچنین برنامه‌هایی را که برای مدیریت کیف پول‌های سخت‌افزاری استفاده می‌شوند، هدف قرار می‌دهد و امکان سرقت داده‌های بازیابی حیاتی را فراهم می‌کند.
• ابزارهای رمزنگاری هدفمند شامل کیف پول اتمیک، بایننس، بیت کوین، دش کور، دوج کوین، الکتروم، اکسودوس، گواردا، لایت کوین، مونرو، تان کیپر و کیف پول واسابی می‌شوند.

• برنامه‌هایی مانند Ledger Live، Ledger Wallet و Trezor Suite به طور خاص برای استخراج عبارت بازیابی ۲۴ کلمه‌ای هدف قرار گرفته‌اند.

فراتر از مرورگرها: پیام‌رسانی و بهره‌برداری از داده‌های محلی

این بدافزار دامنه نفوذ خود را به برنامه‌های ارتباطی و بهره‌وری گسترش می‌دهد. می‌تواند جلسات فعال را از پلتفرم‌هایی مانند تلگرام و دیسکورد ربوده و به مهاجمان اجازه دسترسی به حساب کاربری بدون نیاز به اعتبارنامه را بدهد. همچنین Apple Notes را که مکانی رایج است که کاربران ممکن است ناخواسته اطلاعات حساسی مانند رمزهای عبور یا عبارات بازیابی ارزهای دیجیتال را در آن ذخیره کنند، بررسی می‌کند.

پس از تکمیل جمع‌آوری داده‌ها، Miolab اطلاعات سرقت‌شده را در یک آرشیو ZIP فشرده کرده و از طریق HTTP آن را استخراج می‌کند. برای پنهان کردن فعالیت خود، یک پیام خطای فریبنده macOS نمایش می‌دهد که نشان می‌دهد برنامه نمی‌تواند اجرا شود.

تأثیر: هزینه واقعی عفونت

آلودگی به Miolab می‌تواند عواقب شدیدی داشته باشد. قربانیان ممکن است به دلیل سرقت ارز دیجیتال، دسترسی غیرمجاز به حساب، سرقت هویت، آسیب به اعتبار و احتمال آلودگی‌های بدافزاری بیشتر ناشی از نفوذ اولیه، متحمل ضررهای مالی شوند.

زنجیره عفونت: مهندسی اجتماعی در هسته آن

Miolab برای نفوذ به سیستم‌ها به شدت به فریب متکی است. مجرمان سایبری آن را از طریق برنامه‌های جعلی macOS که به صورت فایل‌های تصویر دیسک (.DMG) بسته‌بندی شده‌اند و با دقت طوری ساخته شده‌اند که شبیه نرم‌افزارهای قانونی باشند، توزیع می‌کنند. این نصب‌کننده‌ها اغلب دارای برندسازی، آیکون‌ها و رابط‌های کاربری قانع‌کننده‌ای برای افزایش اعتبار هستند.

پس از اجرا، این بدافزار یک فرآیند آلودگی چند مرحله‌ای را آغاز می‌کند. این بدافزار یک رابط نصب جعلی ارائه می‌دهد که کاربران را وادار می‌کند با کلیک راست و انتخاب «باز کردن» از هشدارهای امنیتی عبور کنند. سپس تلاش می‌کند تا برنامه ترمینال را خاتمه دهد تا دید در مورد اقدامات آن محدود شود. یک رمز عبور جعلی macOS نمایش داده می‌شود و کاربران را فریب می‌دهد تا اعتبارنامه‌های سیستم خود را ارائه دهند.

پس از اعتبارسنجی رمز عبور، Miolab اطلاعات سطح سیستم، از جمله مشخصات سخت‌افزاری و پیکربندی نرم‌افزار را جمع‌آوری می‌کند. سپس دایرکتوری‌های کلیدی مانند دسکتاپ، اسناد و دانلودها را اسکن می‌کند و فایل‌هایی مانند اسناد، صفحات گسترده، فایل‌های PDF و داده‌های مربوط به رمز عبور را هدف قرار می‌دهد. در طول این فرآیند، کاربران ممکن است با درخواست‌های مجوز مواجه شوند، در حالی که بدافزار به طور مخفیانه داده‌های جمع‌آوری‌شده را برای استخراج آماده می‌کند.