MacStealer
En nylig oppdaget skadelig programvare kjent som MacStealer utgjør en trussel mot brukere av Apples Mac-operativsystem. Denne spesielle skadevare er designet for å stjele sensitiv informasjon fra ofrene, inkludert deres iCloud KeyChain-legitimasjon, nettleserpåloggingsinformasjon, kryptovaluta-lommebøker og potensielt andre viktige filer.
Det som gjør MacStealer spesielt bekymringsfullt er at den distribueres som en "Malware-as-a-Service" (MaaS)-plattform, noe som betyr at utvikleren tilbyr forhåndslagde bygg av skadevaren for salg til andre som ønsker å spre den videre . Disse forhåndslagde byggene kan kjøpes for $100, noe som gjør det lettere for ondsinnede aktører å inkorporere skadelig programvare i sine egne kampanjer.
Ifølge forskerne ved Uptycs, som først oppdaget MacStealer, kan trusselen kjøres på macOS Catalina (10.15) og alle versjoner opp til den nyeste, Ventura (13.2). Dette betyr at praktisk talt alle Mac-brukere er potensielt sårbare for denne skadelige programvaren.
MacStealer kan kompromittere et bredt spekter av sensitiv informasjon
MacStealer er skadelig programvare som ble avdekket på et ulovlig Dark Web-forum, der utvikleren har promotert det. Selgeren hevder at skadevaren fortsatt er i sin tidlige betautviklingsfase og som sådan tilbyr ingen paneler eller utbyggere. I stedet selges skadevaren som forhåndsbygde DMG-nyttelaster som er i stand til å infisere macOS Catalina, Big Sur, Monterey og Ventura.
Trusselaktøren opplyser at trusselen selges for så lavt på grunn av mangelen på en byggherre eller panel, men lover at mer avanserte funksjoner snart vil bli lagt til. Ifølge utvikleren er MacStealer i stand til å stjele et bredt spekter av sensitive data fra kompromitterte systemer.
For eksempel kan MacStealer angivelig stjele kontopassord, informasjonskapsler og kredittkortdetaljer fra populære nettlesere som Firefox, Chrome og Brave. I tillegg kan den trekke ut mange typer filer, inkludert DOC, DOCX, PDF, TXT, XLS, XLSX, PPT, PPTX, CSV, BMP, MP3, JPG, PNG, ZIP, RAR, PY og DB-filer.
Skadevaren er også i stand til å trekke ut nøkkelringdatabasen (login.keychain-db) i en base64-kodet form. Dette er et sikkert lagringssystem i macOS-systemer som inneholder brukernes passord, private nøkler og sertifikater, og krypterer dem med påloggingspassordet. Funksjonen kan automatisk legge inn påloggingsinformasjon på nettsider og apper.
Til slutt kan MacStealer samle systeminformasjon, nøkkelringpassordinformasjon og stjele kryptovaluta-lommebøker fra en rekke krypto-lommebøker - Coinomi, Exodus, MetaMask, Martian Wallet, Phantom, Tron, Trust-lommebok, Keplr-lommebok og Binance. Alle disse funksjonene gjør MacStealer til en svært farlig og bekymringsfull skadelig programvare for Mac-brukere.
Driftsflyten til MacStealer Malware
MacStealer distribueres av trusselaktørene som en usignert DMG-fil. Filen er ment å være forkledd som noe legitimt eller ønskelig for å lure offeret til å kjøre den på deres macOS-system. Når offeret kjører filen, vises en falsk passordmelding, som kjører en kommando som gjør det mulig for skadelig programvare å samle passord fra den kompromitterte maskinen.
Etter at passordene er samlet inn, fortsetter MacStealer med å samle inn andre sensitive data, som kontopassord, informasjonskapsler, kredittkortdetaljer, kryptovaluta-lommebøker og potensielt sensitive filer. Den lagrer deretter alle disse dataene i en ZIP-fil, som sendes til eksterne Command-and-Control-servere for å samles inn senere av trusselaktøren.
Samtidig sender MacStealer spesifikk grunnleggende informasjon til en forhåndskonfigurert Telegram-kanal, som lar trusselaktøren raskt bli varslet hver gang nye data blir stjålet og laste ned ZIP-filen.
Mens de fleste Malware-as-a-Service-operasjoner (MaaS) er rettet mot Windows-brukere, er ikke macOS immun mot slike trusler. Derfor er det viktig for macOS-brukere å være på vakt og unngå å installere filer fra upålitelige nettsteder. I tillegg bør brukere holde sine operativsystemer og sikkerhetsprogramvare oppdatert for å beskytte mot de nyeste truslene.
