MacStealer

Satu perisian hasad yang ditemui baru-baru ini dikenali sebagai MacStealer menimbulkan ancaman kepada pengguna sistem pengendalian Mac Apple. Perisian hasad khusus ini telah direka bentuk untuk mencuri maklumat sensitif daripada mangsanya, termasuk kelayakan Rantai Kunci iCloud mereka, maklumat log masuk penyemak imbas web, dompet mata wang kripto dan kemungkinan fail penting lain.

Apa yang membuatkan MacStealer, terutamanya yang membimbangkan ialah ia sedang diedarkan sebagai platform 'Malware-as-a-Service' (MaaS), yang bermaksud bahawa pembangun menawarkan binaan prabuatan perisian hasad untuk dijual kepada orang lain yang ingin menyebarkannya lagi . Binaan prabuatan ini tersedia untuk pembelian dengan harga $100, menjadikannya lebih mudah bagi pelakon berniat jahat untuk memasukkan perisian hasad ke dalam kempen mereka sendiri.

Menurut penyelidik di Uptycs, yang pertama kali menemui MacStealer, ancaman itu boleh dijalankan pada macOS Catalina (10.15) dan semua versi sehingga yang paling terkini, Ventura (13.2). Ini bermakna hampir semua pengguna Mac berpotensi terdedah kepada perisian hasad ini.

MacStealer boleh menjejaskan Pelbagai Maklumat Sensitif

MacStealer ialah perisian hasad yang ditemui pada forum terlarang Web Gelap, tempat pembangun mempromosikannya. Penjual mendakwa bahawa perisian hasad masih dalam fasa pembangunan beta awal dan oleh itu, tidak menawarkan panel atau pembina. Sebaliknya, perisian hasad dijual sebagai muatan DMG pra-bina yang mampu menjangkiti macOS Catalina, Big Sur, Monterey dan Ventura.

Aktor ancaman menyatakan bahawa ancaman itu dijual pada harga yang sangat rendah kerana kekurangan pembina atau panel tetapi berjanji bahawa ciri yang lebih canggih akan ditambah tidak lama lagi. Menurut pembangun, MacStealer mampu mencuri pelbagai data sensitif daripada sistem yang terjejas.

Sebagai contoh, MacStealer dilaporkan boleh mencuri kata laluan akaun, kuki dan butiran kad kredit daripada pelayar web popular seperti Firefox, Chrome dan Brave. Selain itu, ia boleh mengekstrak pelbagai jenis fail, termasuk fail DOC, DOCX, PDF, TXT, XLS, XLSX, PPT, PPTX, CSV, BMP, MP3, JPG, PNG, ZIP, RAR, PY dan DB.

Malware ini juga mampu mengekstrak pangkalan data Keychain (login.keychain-db) dalam bentuk yang dikodkan base64. Ini ialah sistem storan selamat dalam sistem macOS yang menyimpan kata laluan pengguna, kunci peribadi dan sijil, menyulitkannya dengan kata laluan log masuk mereka. Ciri ini boleh memasukkan kelayakan log masuk secara automatik pada halaman web dan apl.

Akhir sekali, MacStealer boleh mengumpul maklumat sistem, maklumat kata laluan Keychain, dan mencuri dompet mata wang kripto daripada banyak dompet kripto - Coinomi, Exodus, MetaMask, Dompet Marikh, Phantom, Tron, dompet Amanah, Dompet Keplr dan Binance. Semua ciri ini menjadikan MacStealer sebagai perisian hasad yang sangat berbahaya dan membimbangkan untuk pengguna Mac.

Aliran Operasi Perisian Hasad MacStealer

MacStealer diedarkan oleh pelakon ancaman sebagai fail DMG yang tidak ditandatangani. Fail itu bertujuan untuk menyamar sebagai sesuatu yang sah atau wajar untuk menipu mangsa supaya melaksanakannya pada sistem macOS mereka. Sebaik sahaja mangsa melaksanakan fail, gesaan kata laluan palsu muncul, yang menjalankan perintah yang membolehkan perisian hasad mengumpul kata laluan daripada mesin yang terjejas.

Selepas kata laluan dikumpul, MacStealer meneruskan untuk mengumpul data sensitif lain, seperti kata laluan akaun, kuki, butiran kad kredit, dompet mata wang kripto dan fail yang berpotensi sensitif. Ia kemudian menyimpan semua data ini dalam fail ZIP, yang dihantar ke pelayan Perintah-dan-Kawalan jauh untuk dikumpulkan kemudian oleh aktor ancaman.

Pada masa yang sama, MacStealer menghantar maklumat asas khusus ke saluran Telegram pra-konfigurasi, yang membolehkan pelaku ancaman dimaklumkan dengan cepat setiap kali data baharu dicuri dan memuat turun fail ZIP.

Walaupun kebanyakan operasi Malware-as-a-Service (MaaS) menyasarkan pengguna Windows, macOS tidak terlepas daripada ancaman tersebut. Oleh itu, adalah penting bagi pengguna macOS untuk terus berwaspada dan mengelak daripada memasang fail daripada tapak web yang tidak boleh dipercayai. Selain itu, pengguna harus memastikan sistem pengendalian dan perisian keselamatan mereka dikemas kini untuk melindungi daripada ancaman terkini.