MacStealer

תוכנה זדונית שהתגלתה לאחרונה המכונה MacStealer מהווה איום על משתמשי מערכת ההפעלה Mac של אפל. תוכנה זדונית ספציפית זו תוכננה לגנוב מידע רגיש מקורבנותיה, כולל אישורי iCloud KeyChain שלהם, פרטי כניסה לדפדפן אינטרנט, ארנקי מטבעות קריפטוגרפיים וקבצים חשובים אחרים.

מה שעושה את MacStealer, מדאיג במיוחד הוא שהוא מופץ כפלטפורמת 'Malware-as-a-Service' (MaaS), מה שאומר שהמפתח מציע בנייה מראש של התוכנה הזדונית למכירה לאחרים שרוצים להפיץ אותה הלאה. . פריטים מוכנים מראש אלה זמינים לרכישה תמורת $100, מה שמקל על שחקנים זדוניים לשלב את התוכנה הזדונית בקמפיינים שלהם.

לפי החוקרים ב-Uptycs, שגילו לראשונה את MacStealer, האיום מסוגל לפעול ב-macOS Catalina (10.15) ובכל הגרסאות עד העדכנית ביותר, Ventura (13.2). המשמעות היא שכמעט כל משתמשי ה-Mac עלולים להיות פגיעים לתוכנה זדונית זו.

MacStealer יכול לסכן מגוון רחב של מידע רגיש

MacStealer הוא תוכנה זדונית שנחשפה בפורום אפל של אינטרנט לא חוקי, שם המפתח קידם אותה. המוכר טוען שהתוכנה הזדונית עדיין בשלב פיתוח הבטא המוקדם שלה וככזה, אינה מציעה פאנלים או בונים. במקום זאת, התוכנה הזדונית נמכרת כמטעני DMG מובנים מראש המסוגלים להדביק את macOS Catalina, Big Sur, Monterey ו-Ventura.

שחקן האיום מצהיר שהאיום נמכר במחיר נמוך כל כך בגלל היעדר בנאי או פאנל אבל מבטיח שעוד תכונות מתקדמות יתווספו בקרוב. לדברי המפתח, MacStealer מסוגל לגנוב מגוון רחב של נתונים רגישים ממערכות שנפגעו.

לדוגמה, MacStealer יכול לגנוב סיסמאות חשבון, עוגיות ופרטי כרטיסי אשראי מדפדפני אינטרנט פופולריים כמו Firefox, Chrome ו-Brave. בנוסף, הוא יכול לחלץ סוגים רבים של קבצים, כולל קבצי DOC, DOCX, PDF, TXT, XLS, XLSX, PPT, PPTX, CSV, BMP, MP3, JPG, PNG, ZIP, RAR, PY ו-DB.

התוכנה הזדונית מסוגלת גם לחלץ את מסד הנתונים של Keychain (login.keychain-db) בצורה מקודדת base64. זוהי מערכת אחסון מאובטחת במערכות macOS שמחזיקה סיסמאות, מפתחות פרטיים ואישורים של משתמשים, ומצפינה אותם בסיסמת הכניסה שלהם. התכונה יכולה להזין באופן אוטומטי אישורי כניסה בדפי אינטרנט ובאפליקציות.

לבסוף, MacStealer יכול לאסוף מידע מערכת, מידע על סיסמאות מחזיק מפתחות, ולגנוב ארנקים של מטבעות קריפטו מארנקי קריפטו רבים - Coinomi, Exodus, MetaMask, Martian Wallet, Phantom, Tron, Trust Wallet, Keplr Wallet ו-Binance. כל התכונות הללו הופכות את MacStealer לתוכנה זדונית מאוד מסוכנת ומדאיגה עבור משתמשי Mac.

הזרימה התפעולית של התוכנה הזדונית של MacStealer

MacStealer מופץ על ידי שחקני האיום כקובץ DMG לא חתום. הקובץ נועד להיות מוסווה כמשהו לגיטימי או רצוי כדי להערים על הקורבן לבצע אותו במערכת ה-macOS שלהם. לאחר שהקורבן מבצע את הקובץ, מופיעה בקשת סיסמה מזויפת, אשר מפעילה פקודה המאפשרת לתוכנה הזדונית לאסוף סיסמאות מהמחשב שנפרץ.

לאחר איסוף הסיסמאות, MacStealer ממשיך לאסוף נתונים רגישים אחרים, כגון סיסמאות חשבון, עוגיות, פרטי כרטיסי אשראי, ארנקי מטבעות קריפטוגרפיים וקבצים שעלולים להיות רגישים. לאחר מכן הוא מאחסן את כל הנתונים הללו בקובץ ZIP, שנשלח לשרתי פיקוד ושליטה מרוחקים כדי שייאסוף מאוחר יותר על ידי שחקן האיום.

במקביל, MacStealer שולח מידע בסיסי ספציפי לערוץ טלגרם שהוגדר מראש, מה שמאפשר לשחקן האיום לקבל הודעה מהירה בכל פעם שגנבים נתונים חדשים ולהוריד את קובץ ה-ZIP.

בעוד שרוב פעולות Malware-as-a-A-Service (MaaS) מכוונות למשתמשי Windows, macOS אינה חסינה מפני איומים כאלה. לכן, חשוב למשתמשי macOS להישאר ערניים ולהימנע מהתקנת קבצים מאתרים לא אמינים. בנוסף, על המשתמשים לעדכן את מערכות ההפעלה ואת תוכנת האבטחה שלהם כדי להגן מפני האיומים האחרונים.

מגמות

הכי נצפה

טוען...