MacStealer

Un malware descoperit recent, cunoscut sub numele de MacStealer, reprezintă o amenințare pentru utilizatorii sistemului de operare Mac al Apple. Acest program malware special a fost conceput pentru a fura informații sensibile de la victimele sale, inclusiv acreditările lor iCloud KeyChain, informațiile de conectare ale browserului web, portofelele criptomonede și, potențial, alte fișiere importante.

Ceea ce face ca MacStealer să fie deosebit de îngrijorător este faptul că este distribuit ca o platformă „Malware-as-a-Service” (MaaS), ceea ce înseamnă că dezvoltatorul oferă versiuni prefabricate ale malware-ului spre vânzare altora care doresc să-l răspândească în continuare. . Aceste versiuni prefabricate sunt disponibile pentru cumpărare pentru 100 USD, facilitând pentru actorii rău intenționați să încorporeze malware-ul în propriile campanii.

Potrivit cercetătorilor de la Uptycs, care au descoperit pentru prima dată MacStealer, amenințarea poate rula pe macOS Catalina (10.15) și pe toate versiunile până la cea mai recentă, Ventura (13.2). Aceasta înseamnă că practic toți utilizatorii de Mac sunt potențial vulnerabili la acest malware.

MacStealer poate compromite o gamă largă de informații sensibile

MacStealer este un malware care a fost descoperit pe un forum ilicit Dark Web, unde dezvoltatorul l-a promovat. Vânzătorul susține că malware-ul este încă în faza sa incipientă de dezvoltare beta și, ca atare, nu oferă panouri sau constructori. În schimb, malware-ul este vândut ca încărcături utile DMG prefabricate care sunt capabile să infecteze macOS Catalina, Big Sur, Monterey și Ventura.

Actorul amenințării afirmă că amenințarea este vândută la preț atât de mic din cauza lipsei unui constructor sau panou, dar promite că vor fi adăugate în curând funcții mai avansate. Potrivit dezvoltatorului, MacStealer este capabil să fure o gamă largă de date sensibile din sistemele compromise.

De exemplu, MacStealer poate fura parolele contului, cookie-urile și detaliile cardului de credit din browsere web populare, cum ar fi Firefox, Chrome și Brave. În plus, poate extrage numeroase tipuri de fișiere, inclusiv fișiere DOC, DOCX, PDF, TXT, XLS, XLSX, PPT, PPTX, CSV, BMP, MP3, JPG, PNG, ZIP, RAR, PY și DB.

Malware-ul este, de asemenea, capabil să extragă baza de date Keychain (login.keychain-db) într-o formă codificată base64. Acesta este un sistem de stocare securizat în sistemele macOS care deține parolele utilizatorilor, cheile private și certificatele, criptându-le cu parola de conectare. Funcția poate introduce automat acreditările de conectare pe paginile web și aplicații.

În cele din urmă, MacStealer poate colecta informații despre sistem, informații despre parola Keychain și poate fura portofele cu criptomonede din numeroase portofele cripto - Coinomi, Exodus, MetaMask, Martian Wallet, Phantom, Tron, Trust wallet, Keplr Wallet și Binance. Toate aceste caracteristici fac din MacStealer un program malware extrem de periculos și îngrijorător pentru utilizatorii de Mac.

Fluxul operațional al programului malware MacStealer

MacStealer este distribuit de către actorii amenințărilor ca fișier DMG nesemnat. Fișierul este destinat să fie deghizat ca ceva legitim sau de dorit pentru a păcăli victima să-l execute pe sistemul lor macOS. Odată ce victima execută fișierul, apare o solicitare de parolă falsă, care rulează o comandă care permite malware-ului să colecteze parole de la mașina compromisă.

După ce parolele sunt colectate, MacStealer continuă să colecteze alte date sensibile, cum ar fi parolele contului, cookie-urile, detaliile cărților de credit, portofelele criptomonede și fișierele potențial sensibile. Apoi stochează toate aceste date într-un fișier ZIP, care este trimis către serverele de comandă și control la distanță pentru a fi colectat ulterior de către actorul amenințării.

În același timp, MacStealer trimite informații de bază specifice către un canal Telegram preconfigurat, ceea ce permite actorului amenințării să fie notificat rapid de fiecare dată când sunt furate date noi și să descarce fișierul ZIP.

În timp ce majoritatea operațiunilor Malware-as-a-Service (MaaS) vizează utilizatorii Windows, macOS nu este imun la astfel de amenințări. Prin urmare, este important ca utilizatorii macOS să rămână vigilenți și să evite instalarea fișierelor de pe site-uri web nedemne de încredere. În plus, utilizatorii ar trebui să-și păstreze sistemele de operare și software-ul de securitate la zi pentru a se proteja împotriva celor mai recente amenințări.