MacStealer
Nedávno objavený malvér známy ako MacStealer predstavuje hrozbu pre používateľov operačného systému Mac od Apple. Tento konkrétny malvér bol navrhnutý tak, aby ukradol citlivé informácie od svojich obetí, vrátane ich prihlasovacích údajov do iCloud KeyChain, prihlasovacích údajov webového prehliadača, kryptomenových peňaženiek a potenciálne ďalších dôležitých súborov.
MacStealer znepokojuje najmä to, že je distribuovaný ako platforma „Malware-as-a-Service“ (MaaS), čo znamená, že vývojár ponúka vopred pripravené zostavy malvéru na predaj ostatným, ktorí ho chcú šíriť ďalej. . Tieto predpripravené zostavy sú k dispozícii na nákup za 100 dolárov, čo uľahčí zlomyslným aktérom začlenenie malvéru do ich vlastných kampaní.
Podľa výskumníkov z Uptycs, ktorí ako prvý objavili MacStealer, je hrozba schopná bežať na macOS Catalina (10.15) a všetkých verziách až po najnovšiu, Ventura (13.2). To znamená, že prakticky všetci používatelia počítačov Mac sú potenciálne zraniteľní voči tomuto malvéru.
MacStealer môže kompromitovať širokú škálu citlivých informácií
MacStealer je malvér, ktorý bol odhalený na nelegálnom fóre Dark Web, kde ho vývojár propaguje. Predajca tvrdí, že malvér je stále vo svojej ranej beta vývojovej fáze a ako taký neponúka žiadne panely ani zostavovateľov. Namiesto toho sa malvér predáva ako vopred zostavené užitočné zaťaženia DMG, ktoré sú schopné infikovať macOS Catalina, Big Sur, Monterey a Ventura.
Aktér hrozby uvádza, že hrozba sa predáva za tak nízku cenu, pretože chýba staviteľ alebo panel, ale sľubuje, že čoskoro pribudnú pokročilejšie funkcie. Podľa vývojára je MacStealer schopný ukradnúť širokú škálu citlivých údajov z napadnutých systémov.
Napríklad MacStealer môže údajne ukradnúť heslá účtov, súbory cookie a podrobnosti o kreditných kartách z populárnych webových prehliadačov, ako sú Firefox, Chrome a Brave. Okrem toho dokáže extrahovať množstvo typov súborov vrátane súborov DOC, DOCX, PDF, TXT, XLS, XLSX, PPT, PPTX, CSV, BMP, MP3, JPG, PNG, ZIP, RAR, PY a DB.
Malvér je tiež schopný extrahovať databázu Keychain (login.keychain-db) v kódovanej forme base64. Ide o bezpečný úložný systém v systémoch macOS, ktorý uchováva heslá, súkromné kľúče a certifikáty používateľov a šifruje ich pomocou ich prihlasovacieho hesla. Táto funkcia môže automaticky zadávať prihlasovacie údaje na webové stránky a aplikácie.
Nakoniec, MacStealer môže zbierať systémové informácie, informácie o hesle Keychain a kradnúť kryptomenové peňaženky z mnohých krypto-peňaženiek – Coinomi, Exodus, MetaMask, Marťanská peňaženka, Phantom, Tron, Trust peňaženka, Keplr Wallet a Binance. Všetky tieto funkcie robia MacStealer veľmi nebezpečným škodlivým softvérom pre používateľov počítačov Mac.
Prevádzkový tok škodlivého softvéru MacStealer
MacStealer je distribuovaný aktérmi hrozby ako nepodpísaný súbor DMG. Súbor je určený na to, aby bol zamaskovaný ako niečo legitímne alebo žiaduce, aby obeť oklamala, aby ho spustila na svojom systéme macOS. Keď obeť spustí súbor, zobrazí sa výzva na zadanie falošného hesla, ktorá spustí príkaz, ktorý umožní malvéru zbierať heslá z napadnutého počítača.
Po zhromaždení hesiel MacStealer pokračuje v zhromažďovaní ďalších citlivých údajov, ako sú heslá účtov, súbory cookie, podrobnosti o kreditných kartách, peňaženky s kryptomenami a potenciálne citlivé súbory. Všetky tieto údaje potom uloží do súboru ZIP, ktorý sa odošle na vzdialené servery príkazov a ovládania, aby ich neskôr zozbieral aktér hrozby.
MacStealer zároveň odosiela špecifické základné informácie na vopred nakonfigurovaný kanál telegramu, čo umožňuje aktérovi hrozby rýchlo upozorniť na každú krádež nových údajov a stiahnuť si súbor ZIP.
Zatiaľ čo väčšina operácií Malware-as-a-Service (MaaS) sa zameriava na používateľov systému Windows, macOS nie je voči takýmto hrozbám imúnny. Preto je dôležité, aby používatelia macOS zostali ostražití a vyhýbali sa inštalácii súborov z nedôveryhodných webových stránok. Okrem toho by používatelia mali udržiavať svoje operačné systémy a bezpečnostný softvér aktuálne, aby ich chránili pred najnovšími hrozbami.
