MacStealer

MacStealer olarak bilinen yakın zamanda keşfedilen bir kötü amaçlı yazılım, Apple'ın Mac işletim sistemi kullanıcıları için bir tehdit oluşturuyor. Bu özel kötü amaçlı yazılım, kurbanlarından iCloud KeyChain kimlik bilgileri, web tarayıcı oturum açma bilgileri, kripto para cüzdanları ve potansiyel olarak diğer önemli dosyalar dahil olmak üzere hassas bilgileri çalmak için tasarlanmıştır.

MacStealer'ı özellikle endişe verici yapan şey, bir "Hizmet Olarak Kötü Amaçlı Yazılım" (MaaS) platformu olarak dağıtılmasıdır; bu, geliştiricinin kötü amaçlı yazılımın önceden hazırlanmış yapılarını daha fazla yaymak isteyen diğer kişilere satış için sunduğu anlamına gelir. . Bu önceden hazırlanmış yapılar 100 ABD doları karşılığında satın alınabilir ve bu da kötü niyetli aktörlerin kötü amaçlı yazılımı kendi kampanyalarına dahil etmelerini kolaylaştırır.

MacStealer'ı ilk keşfeden Uptycs'teki araştırmacılara göre tehdit, macOS Catalina (10.15) ve en yeni Ventura'ya (13.2) kadar tüm sürümlerde çalışabiliyor. Bu, neredeyse tüm Mac kullanıcılarının bu kötü amaçlı yazılıma karşı potansiyel olarak savunmasız olduğu anlamına gelir.

MacStealer Çok Çeşitli Hassas Bilgileri Ele Geçirebilir

MacStealer, geliştiricinin tanıtımını yaptığı yasadışı bir Dark Web forumunda ortaya çıkarılan bir kötü amaçlı yazılımdır. Satıcı, kötü amaçlı yazılımın hala erken beta geliştirme aşamasında olduğunu ve bu nedenle herhangi bir panel veya oluşturucu sunmadığını iddia ediyor. Bunun yerine kötü amaçlı yazılım, macOS Catalina, Big Sur, Monterey ve Ventura'yı etkileyebilecek önceden oluşturulmuş DMG yükleri olarak satılıyor.

Tehdit aktörü, bir oluşturucu veya panel olmaması nedeniyle tehdidin çok düşük bir fiyata satıldığını belirtiyor ancak yakında daha gelişmiş özelliklerin ekleneceğini vaat ediyor. Geliştiriciye göre, MacStealer güvenliği ihlal edilmiş sistemlerden çok çeşitli hassas verileri çalabilir.

Örneğin, MacStealer'ın Firefox, Chrome ve Brave gibi popüler web tarayıcılarından hesap şifrelerini, çerezleri ve kredi kartı bilgilerini çalabileceği bildiriliyor. Ek olarak, DOC, DOCX, PDF, TXT, XLS, XLSX, PPT, PPTX, CSV, BMP, MP3, JPG, PNG, ZIP, RAR, PY ve DB dosyaları dahil olmak üzere çok sayıda dosya türünü ayıklayabilir.

Kötü amaçlı yazılım aynı zamanda Keychain veritabanını (login.keychain-db) base64 kodlu bir biçimde çıkarabilir. Bu, kullanıcıların parolalarını, özel anahtarlarını ve sertifikalarını tutan ve onları oturum açma parolalarıyla şifreleyen macOS sistemlerindeki güvenli bir depolama sistemidir. Bu özellik, oturum açma kimlik bilgilerini web sayfalarına ve uygulamalara otomatik olarak girebilir.

Son olarak, MacStealer sistem bilgilerini, Anahtar Zinciri parola bilgilerini toplayabilir ve Coinomi, Exodus, MetaMask, Martian Wallet, Phantom, Tron, Trust wallet, Keplr Wallet ve Binance gibi çok sayıda kripto cüzdanından kripto para cüzdanlarını çalabilir. Tüm bu özellikler, MacStealer'ı Mac kullanıcıları için son derece tehlikeli ve endişe verici bir kötü amaçlı yazılım haline getirir.

MacStealer Kötü Amaçlı Yazılımının Operasyonel Akışı

MacStealer, tehdit aktörleri tarafından imzasız bir DMG dosyası olarak dağıtılır. Dosyanın, kurbanı kandırarak onu macOS sisteminde çalıştırması için meşru veya arzu edilen bir şey gibi gizlenmesi amaçlanıyor. Kurban dosyayı çalıştırdığında, kötü amaçlı yazılımın güvenliği ihlal edilmiş makineden parola toplamasını sağlayan bir komutu çalıştıran sahte bir parola istemi görüntülenir.

Parolalar toplandıktan sonra, MacStealer hesap parolaları, tanımlama bilgileri, kredi kartı bilgileri, kripto para cüzdanları ve potansiyel olarak hassas dosyalar gibi diğer hassas verileri toplamaya devam eder. Daha sonra tüm bu verileri, daha sonra tehdit aktörü tarafından toplanmak üzere uzak Komuta ve Kontrol sunucularına gönderilen bir ZIP dosyasında depolar.

Aynı zamanda, MacStealer belirli temel bilgileri önceden yapılandırılmış bir Telegram kanalına göndererek tehdit aktörünün her yeni veri çalındığında ve ZIP dosyasını indirdiğinde hızlı bir şekilde bilgilendirilmesini sağlar.

Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) işlemlerinin çoğu Windows kullanıcılarını hedeflerken, macOS bu tür tehditlere karşı bağışık değildir. Bu nedenle, macOS kullanıcılarının uyanık kalması ve güvenilir olmayan web sitelerinden dosya yüklemekten kaçınması önemlidir. Ek olarak, kullanıcılar en son tehditlere karşı korunmak için işletim sistemlerini ve güvenlik yazılımlarını güncel tutmalıdır.