MacStealer

Недавно обнаруженная вредоносная программа, известная как MacStealer, представляет угрозу для пользователей операционной системы Apple Mac. Это конкретное вредоносное ПО было разработано для кражи конфиденциальной информации от своих жертв, включая их учетные данные iCloud KeyChain, информацию для входа в веб-браузер, криптовалютные кошельки и, возможно, другие важные файлы.

Что особенно беспокоит MacStealer, так это то, что он распространяется как платформа «Вредоносное ПО как услуга» (MaaS), что означает, что разработчик предлагает готовые сборки вредоносного ПО для продажи другим лицам, желающим распространять его дальше. . Эти готовые сборки доступны для покупки за 100 долларов, что облегчает злоумышленникам внедрение вредоносного ПО в свои кампании.

По словам исследователей из Uptycs, которые первыми обнаружили MacStealer, угроза может работать на macOS Catalina (10.15) и всех версиях до самой последней, Ventura (13.2). Это означает, что практически все пользователи Mac потенциально уязвимы для этой вредоносной программы.

MacStealer может скомпрометировать широкий спектр конфиденциальной информации

MacStealer — это вредоносное ПО, обнаруженное на нелегальном форуме в Даркнете, где разработчик продвигал его. Продавец утверждает, что вредоносное ПО все еще находится на ранней стадии бета-тестирования и поэтому не предлагает никаких панелей или сборщиков. Вместо этого вредоносное ПО продается в виде готовых полезных нагрузок DMG, способных заражать macOS Catalina, Big Sur, Monterey и Ventura.

Злоумышленник заявляет, что угроза продается по такой низкой цене из-за отсутствия конструктора или панели, но обещает, что в ближайшее время будут добавлены более продвинутые функции. По словам разработчика, MacStealer способен украсть широкий спектр конфиденциальных данных из скомпрометированных систем.

Например, MacStealer, как сообщается, может красть пароли учетных записей, файлы cookie и данные кредитных карт из популярных веб-браузеров, таких как Firefox, Chrome и Brave. Кроме того, он может извлекать файлы различных типов, включая файлы DOC, DOCX, PDF, TXT, XLS, XLSX, PPT, PPTX, CSV, BMP, MP3, JPG, PNG, ZIP, RAR, PY и DB.

Вредоносная программа также способна извлекать базу данных Keychain (login.keychain-db) в закодированном виде base64. Это защищенная система хранения в системах macOS, в которой хранятся пароли пользователей, закрытые ключи и сертификаты, шифруемые их паролем для входа. Эта функция может автоматически вводить учетные данные для входа на веб-страницы и в приложения.

Наконец, MacStealer может собирать системную информацию, информацию о пароле Keychain и красть криптовалютные кошельки из многочисленных криптокошельков — Coinomi, Exodus, MetaMask, Martian Wallet, Phantom, Tron, Trust wallet, Keplr Wallet и Binance. Все эти функции делают MacStealer очень опасным вредоносным ПО для пользователей Mac.

Операционный поток вредоносного ПО MacStealer

MacStealer распространяется злоумышленниками в виде неподписанного файла DMG. Файл предназначен для маскировки под что-то законное или желательное, чтобы обмануть жертву и заставить ее запустить его в своей системе macOS. Как только жертва запускает файл, появляется поддельный запрос пароля, который запускает команду, позволяющую вредоносному ПО собирать пароли со взломанной машины.

После сбора паролей MacStealer приступает к сбору других конфиденциальных данных, таких как пароли учетных записей, файлы cookie, данные кредитной карты, криптовалютные кошельки и потенциально конфиденциальные файлы. Затем он сохраняет все эти данные в ZIP-файле, который отправляется на удаленные серверы управления и контроля для последующего сбора субъектом угрозы.

В то же время MacStealer отправляет определенную базовую информацию в предварительно настроенный канал Telegram, что позволяет злоумышленнику быстро получать уведомления каждый раз, когда новые данные украдены, и загружать ZIP-файл.

Хотя большинство операций «Вредоносное ПО как услуга» (MaaS) нацелены на пользователей Windows, macOS не застрахована от таких угроз. Поэтому пользователям macOS важно сохранять бдительность и избегать установки файлов с ненадежных веб-сайтов. Кроме того, пользователи должны обновлять свои операционные системы и программное обеспечение безопасности для защиты от новейших угроз.