MacStealer
En nyligen upptäckt skadlig programvara känd som MacStealer utgör ett hot mot användare av Apples Mac-operativsystem. Denna speciella skadliga programvara har utformats för att stjäla känslig information från dess offer, inklusive deras iCloud KeyChain-uppgifter, webbläsarinloggningsinformation, kryptovaluta-plånböcker och potentiellt andra viktiga filer.
Det som gör MacStealer särskilt oroande är att den distribueras som en "Malware-as-a-Service" (MaaS)-plattform, vilket innebär att utvecklaren erbjuder färdiga versioner av skadlig programvara för försäljning till andra som vill sprida den vidare . Dessa premade builds finns att köpa för $100, vilket gör det lättare för illvilliga aktörer att införliva skadlig programvara i sina egna kampanjer.
Enligt forskarna på Uptycs, som först upptäckte MacStealer, kan hotet köras på macOS Catalina (10.15) och alla versioner upp till den senaste, Ventura (13.2). Detta innebär att praktiskt taget alla Mac-användare är potentiellt sårbara för denna skadliga programvara.
MacStealer kan äventyra ett brett utbud av känslig information
MacStealer är skadlig programvara som upptäcktes på ett otillåtet Dark Web-forum, där utvecklaren har marknadsfört det. Säljaren hävdar att skadlig programvara fortfarande är i sin tidiga betautvecklingsfas och som sådan erbjuder inga paneler eller byggare. Istället säljs skadlig programvara som förbyggda DMG-nyttolaster som kan infektera macOS Catalina, Big Sur, Monterey och Ventura.
Hotaktören uppger att hotet säljs för så lågt på grund av bristen på en byggare eller panel men lovar att fler avancerade funktioner kommer att läggas till inom kort. Enligt utvecklaren är MacStealer kapabel att stjäla ett brett utbud av känslig data från komprometterade system.
Till exempel kan MacStealer enligt uppgift stjäla kontolösenord, cookies och kreditkortsuppgifter från populära webbläsare som Firefox, Chrome och Brave. Dessutom kan det extrahera många typer av filer, inklusive DOC, DOCX, PDF, TXT, XLS, XLSX, PPT, PPTX, CSV, BMP, MP3, JPG, PNG, ZIP, RAR, PY och DB-filer.
Skadlig programvara kan också extrahera nyckelringsdatabasen (login.keychain-db) i en base64-kodad form. Detta är ett säkert lagringssystem i macOS-system som innehåller användarnas lösenord, privata nycklar och certifikat och krypterar dem med deras inloggningslösenord. Funktionen kan automatiskt ange inloggningsuppgifter på webbsidor och appar.
Slutligen kan MacStealer samla in systeminformation, nyckelringlösenordsinformation och stjäla kryptovaluta plånböcker från många kryptoplånböcker - Coinomi, Exodus, MetaMask, Martian Wallet, Phantom, Tron, Trust wallet, Keplr Wallet och Binance. Alla dessa funktioner gör MacStealer till en mycket farlig och angående skadlig programvara för Mac-användare.
Det operativa flödet av MacStealer Malware
MacStealer distribueras av hotaktörerna som en osignerad DMG-fil. Filen är avsedd att vara förklädd som något legitimt eller önskvärt för att lura offret att köra den på deras macOS-system. När offret kör filen visas en falsk lösenordsuppmaning, som kör ett kommando som gör det möjligt för skadlig programvara att samla in lösenord från den komprometterade maskinen.
Efter att lösenorden har samlats in fortsätter MacStealer att samla in annan känslig data, såsom kontolösenord, cookies, kreditkortsuppgifter, kryptovaluta plånböcker och potentiellt känsliga filer. Den lagrar sedan all denna data i en ZIP-fil, som skickas till fjärrstyrda Command-and-Control-servrar för att samlas in senare av hotaktören.
Samtidigt skickar MacStealer specifik basinformation till en förkonfigurerad Telegram-kanal, vilket gör att hotaktören snabbt kan meddelas varje gång ny data stjäls och ladda ner ZIP-filen.
Medan de flesta Malware-as-a-Service-operationer (MaaS) riktar sig till Windows-användare, är macOS inte immun mot sådana hot. Därför är det viktigt för macOS-användare att vara vaksamma och undvika att installera filer från opålitliga webbplatser. Dessutom bör användare hålla sina operativsystem och säkerhetsprogram uppdaterade för att skydda sig mot de senaste hoten.
