MacStealer

Äskettäin löydetty haittaohjelma, joka tunnetaan nimellä MacStealer, on uhka Applen Mac-käyttöjärjestelmän käyttäjille. Tämä haittaohjelma on suunniteltu varastamaan arkaluontoisia tietoja uhreilta, mukaan lukien heidän iCloud KeyChain -tunnistetiedot, verkkoselaimen kirjautumistiedot, kryptovaluuttalompakot ja mahdollisesti muut tärkeät tiedostot.

Erityisen huolestuttavan MacStealerin tekee se, että sitä jaetaan 'Malware-as-a-Service' (MaaS) -alustana, mikä tarkoittaa, että kehittäjä tarjoaa valmiita versioita haittaohjelmista myytäväksi muille, jotka haluavat levittää sitä edelleen. . Nämä valmiit versiot ovat ostettavissa 100 dollarilla, mikä helpottaa haittaohjelmien sisällyttämistä omiin kampanjoihinsa.

MacStealerin ensimmäisenä löytäneiden Uptycsin tutkijoiden mukaan uhka voi toimia macOS Catalinassa (10.15) ja kaikissa versioissa uusimpaan Venturaan (13.2) asti. Tämä tarkoittaa, että käytännössä kaikki Mac-käyttäjät ovat mahdollisesti haavoittuvia tälle haittaohjelmalle.

MacStealer voi vaarantaa laajan valikoiman arkaluonteisia tietoja

MacStealer on haittaohjelma, joka paljastui Dark Webin laittomalta foorumilta, jossa kehittäjä on mainostanut sitä. Myyjä väittää, että haittaohjelma on vielä varhaisessa beta-kehitysvaiheessa, joten se ei tarjoa paneeleita tai rakentajia. Sen sijaan haittaohjelma myydään valmiina DMG-hyötykuormina, jotka voivat tartuttaa macOS Catalinan, Big Surin, Montereyn ja Venturan.

Uhkatoimija toteaa, että uhka myydään niin halvalla rakentajan tai paneelin puutteen vuoksi, mutta lupaa, että kehittyneempiä ominaisuuksia lisätään pian. Kehittäjän mukaan MacStealer pystyy varastamaan laajan valikoiman arkaluonteisia tietoja vaarantuneista järjestelmistä.

Esimerkiksi MacStealer voi tiettävästi varastaa tilien salasanoja, evästeitä ja luottokorttitietoja suosituista verkkoselaimista, kuten Firefox, Chrome ja Brave. Lisäksi se voi purkaa monenlaisia tiedostoja, mukaan lukien DOC, DOCX, PDF, TXT, XLS, XLSX, PPT, PPTX, CSV, BMP, MP3, JPG, PNG, ZIP, RAR, PY ja DB-tiedostot.

Haittaohjelma pystyy myös purkamaan Keychain-tietokannan (login.keychain-db) base64-koodatussa muodossa. Tämä on suojattu tallennusjärjestelmä macOS-järjestelmissä, joka säilyttää käyttäjien salasanat, yksityiset avaimet ja varmenteet ja salaa ne heidän kirjautumissalasanoillaan. Ominaisuus voi automaattisesti syöttää kirjautumistiedot verkkosivuille ja sovelluksiin.

Lopuksi MacStealer voi kerätä järjestelmätietoja, avainnipun salasanatietoja ja varastaa kryptovaluuttalompakoita lukuisista kryptolompakoista - Coinomi, Exodus, MetaMask, Martian Wallet, Phantom, Tron, Trust-lompakko, Keplr Wallet ja Binance. Kaikki nämä ominaisuudet tekevät MacStealeristä erittäin vaarallisen ja huolestuttavan haittaohjelman Mac-käyttäjille.

MacStealer-haittaohjelman toimintakulku

Uhkatoimijat jakavat MacStealeria allekirjoittamattomana DMG-tiedostona. Tiedosto on tarkoitus naamioida joksikin lailliseksi tai toivottavaksi uhrin huijaamiseksi suorittamaan se macOS-järjestelmällään. Kun uhri suorittaa tiedoston, näkyviin tulee väärennetyn salasanan kehote, joka suorittaa komennon, jonka avulla haittaohjelma voi kerätä salasanoja vaarantuneelta koneelta.

Kun salasanat on kerätty, MacStealer jatkaa muiden arkaluontoisten tietojen, kuten tilien salasanojen, evästeiden, luottokorttitietojen, kryptovaluuttalompakoiden ja mahdollisesti arkaluontoisten tiedostojen keräämistä. Sitten se tallentaa kaikki nämä tiedot ZIP-tiedostoon, joka lähetetään etäkomento- ja hallintapalvelimille uhkatoimijan myöhemmin keräämistä varten.

Samaan aikaan MacStealer lähettää tiettyjä perustietoja valmiiksi määritettyyn Telegram-kanavaan, mikä mahdollistaa uhkatekijän nopean ilmoituksen aina, kun uusia tietoja varastetaan, ja ladata ZIP-tiedoston.

Vaikka useimmat Malware-as-a-Service (MaaS) -toiminnot kohdistuvat Windows-käyttäjiin, macOS ei ole immuuni tällaisille uhille. Siksi macOS-käyttäjien on tärkeää pysyä valppaina ja välttää tiedostojen asentamista epäluotettavilta verkkosivustoilta. Lisäksi käyttäjien tulee pitää käyttöjärjestelmänsä ja tietoturvaohjelmistonsa ajan tasalla suojautuakseen viimeisimmiltä uhilta.