MacStealer

Nedavno odkrita zlonamerna programska oprema, znana kot MacStealer, ogroža uporabnike Applovega operacijskega sistema Mac. Ta posebna zlonamerna programska oprema je bila zasnovana tako, da svojim žrtvam ukrade občutljive podatke, vključno z njihovimi poverilnicami iCloud KeyChain, podatki za prijavo v spletni brskalnik, denarnicami za kriptovalute in potencialno drugimi pomembnimi datotekami.

MacStealer je še posebej zaskrbljujoč, ker se distribuira kot platforma »Malware-as-a-Service« (MaaS), kar pomeni, da razvijalec ponuja vnaprej izdelane različice zlonamerne programske opreme za prodajo drugim, ki jo želijo širiti naprej. . Te vnaprej izdelane različice so na voljo za nakup za 100 USD, kar zlonamernim akterjem olajša vključitev zlonamerne programske opreme v lastne kampanje.

Po mnenju raziskovalcev pri Uptycs, ki so prvi odkrili MacStealer, se grožnja lahko izvaja v macOS Catalina (10.15) in vseh različicah do najnovejše, Ventura (13.2). To pomeni, da so praktično vsi uporabniki Maca potencialno ranljivi za to zlonamerno programsko opremo.

MacStealer lahko ogrozi širok nabor občutljivih informacij

MacStealer je zlonamerna programska oprema, ki je bila odkrita na nedovoljenem forumu Dark Web, kjer jo je razvijalec promoviral. Prodajalec trdi, da je zlonamerna programska oprema še vedno v zgodnji beta razvojni fazi in kot taka ne ponuja plošč ali graditeljev. Namesto tega se zlonamerna programska oprema prodaja kot vnaprej zgrajena obremenitev DMG, ki lahko okuži macOS Catalina, Big Sur, Monterey in Ventura.

Akter grožnje navaja, da se grožnja prodaja za tako nizko ceno zaradi pomanjkanja graditelja ali plošče, vendar obljublja, da bodo kmalu dodane naprednejše funkcije. Po besedah razvijalca je MacStealer sposoben ukrasti široko paleto občutljivih podatkov iz ogroženih sistemov.

MacStealer lahko na primer ukrade gesla za račune, piškotke in podatke o kreditni kartici iz priljubljenih spletnih brskalnikov, kot so Firefox, Chrome in Brave. Poleg tega lahko ekstrahira številne vrste datotek, vključno z datotekami DOC, DOCX, PDF, TXT, XLS, XLSX, PPT, PPTX, CSV, BMP, MP3, JPG, PNG, ZIP, RAR, PY in DB.

Zlonamerna programska oprema je sposobna tudi ekstrahirati bazo podatkov Keychain (login.keychain-db) v kodirani obliki base64. To je varen sistem za shranjevanje v sistemih macOS, ki hrani uporabniška gesla, zasebne ključe in potrdila ter jih šifrira z njihovim geslom za prijavo. Funkcija lahko samodejno vnese poverilnice za prijavo na spletnih straneh in v aplikacijah.

Nazadnje lahko MacStealer zbira sistemske informacije, podatke o geslih za Keychain in krade denarnice za kriptovalute iz številnih kripto denarnic – Coinomi, Exodus, MetaMask, Martian Wallet, Phantom, Tron, Trust wallet, Keplr Wallet in Binance. Zaradi vseh teh funkcij je MacStealer zelo nevarna in skrb vzbujajoča zlonamerna programska oprema za uporabnike Mac.

Potek delovanja zlonamerne programske opreme MacStealer

MacStealer distribuirajo akterji groženj kot nepodpisano datoteko DMG. Datoteka naj bi bila prikrita kot nekaj legitimnega ali zaželenega, da bi žrtev pretentala, da jo izvede v svojem sistemu macOS. Ko žrtev izvede datoteko, se pojavi poziv za lažno geslo, ki zažene ukaz, ki zlonamerni programski opremi omogoči zbiranje gesel iz ogroženega računalnika.

Ko so gesla zbrana, MacStealer nadaljuje z zbiranjem drugih občutljivih podatkov, kot so gesla za račune, piškotki, podatki o kreditnih karticah, denarnice za kriptovalute in potencialno občutljive datoteke. Vse te podatke nato shrani v datoteko ZIP, ki se pošlje oddaljenim strežnikom za upravljanje in nadzor, da jih povzročitelj grožnje pozneje zbere.

Istočasno MacStealer pošlje posebne osnovne informacije na vnaprej konfiguriran kanal Telegram, kar omogoča akterju grožnje, da je hitro obveščen vsakič, ko so ukradeni novi podatki, in prenese datoteko ZIP.

Medtem ko večina operacij Malware-as-a-Service (MaaS) cilja na uporabnike sistema Windows, macOS ni imun na takšne grožnje. Zato je pomembno, da uporabniki macOS ostanejo pozorni in se izogibajo nameščanju datotek z nezaupljivih spletnih mest. Poleg tega bi morali uporabniki posodabljati svoje operacijske sisteme in varnostno programsko opremo za zaščito pred najnovejšimi grožnjami.