MacStealer
Нещодавно виявлена шкідлива програма, відома як MacStealer, становить загрозу для користувачів операційної системи Mac від Apple. Це конкретне зловмисне програмне забезпечення було розроблено для викрадення конфіденційної інформації у своїх жертв, включаючи їхні облікові дані iCloud KeyChain, дані для входу в веб-браузер, гаманці криптовалюти та потенційно інші важливі файли.
Що робить MacStealer особливо тривожним, так це те, що він розповсюджується як платформа «зловмисне програмне забезпечення як послуга» (MaaS), що означає, що розробник пропонує готові збірки зловмисного програмного забезпечення для продажу іншим, хто хоче поширювати його далі . Ці готові збірки можна придбати за 100 доларів США, що полегшує зловмисникам вбудовування зловмисного програмного забезпечення у власні кампанії.
За словами дослідників з Uptycs, які першими виявили MacStealer, загроза може працювати на macOS Catalina (10.15) і всіх версіях до останньої, Ventura (13.2). Це означає, що практично всі користувачі Mac потенційно вразливі до цього шкідливого програмного забезпечення.
MacStealer може скомпрометувати широкий спектр конфіденційної інформації
MacStealer — це зловмисне програмне забезпечення, яке було виявлено на незаконному форумі Dark Web, де розробник його рекламував. Продавець стверджує, що зловмисне програмне забезпечення все ще перебуває на стадії ранньої бета-версії розробки і тому не пропонує панелей чи конструкторів. Замість цього зловмисне програмне забезпечення продається як попередньо зібране корисне навантаження DMG, яке здатне заразити macOS Catalina, Big Sur, Monterey і Ventura.
Автор загрози заявляє, що загроза продається за таку низьку ціну через відсутність конструктора чи панелі, але обіцяє, що незабаром будуть додані більш розширені функції. За словами розробника, MacStealer здатний викрадати широкий спектр конфіденційних даних із скомпрометованих систем.
Наприклад, повідомляється, що MacStealer може викрадати паролі облікових записів, файли cookie та дані кредитної картки з популярних веб-браузерів, таких як Firefox, Chrome і Brave. Крім того, він може витягувати численні типи файлів, зокрема файли DOC, DOCX, PDF, TXT, XLS, XLSX, PPT, PPTX, CSV, BMP, MP3, JPG, PNG, ZIP, RAR, PY та DB.
Зловмисне програмне забезпечення також здатне видобувати базу даних Keychain (login.keychain-db) у формі, закодованій base64. Це безпечна система зберігання в системах macOS, яка зберігає паролі, закриті ключі та сертифікати користувачів, шифруючи їх паролем для входу. Ця функція може автоматично вводити облікові дані для входу на веб-сторінки та в програми.
Нарешті, MacStealer може збирати системну інформацію, інформацію про пароль Keychain і викрадати криптовалютні гаманці з багатьох криптовалютних гаманців — Coinomi, Exodus, MetaMask, Martian Wallet, Phantom, Tron, Trust Wallet, Keplr Wallet і Binance. Усі ці функції роблять MacStealer дуже небезпечним і шкідливим програмним забезпеченням для користувачів Mac.
Операційний процес шкідливого програмного забезпечення MacStealer
MacStealer поширюється суб’єктами загрози як непідписаний файл DMG. Файл має бути замаскований під щось законне або бажане, щоб обманом змусити жертву запустити його в системі macOS. Коли жертва запускає файл, з’являється підказка підробленого пароля, яка запускає команду, яка дозволяє зловмисному програмному забезпеченню збирати паролі від скомпрометованої машини.
Після збору паролів MacStealer переходить до збору інших конфіденційних даних, таких як паролі облікових записів, файли cookie, дані кредитних карток, гаманці криптовалюти та потенційно конфіденційні файли. Потім він зберігає всі ці дані в ZIP-файлі, який надсилається на віддалені сервери командування та керування, щоб пізніше зібрати їх зловмисником.
У той же час MacStealer надсилає певну основну інформацію на попередньо налаштований канал Telegram, що дозволяє швидко сповіщати загрозливого суб’єкта про кожну крадіжку нових даних і завантажувати ZIP-файл.
Хоча більшість операцій зі шкідливим програмним забезпеченням як послуга (MaaS) націлені на користувачів Windows, macOS не захищена від таких загроз. Тому користувачам macOS важливо залишатися пильними та уникати встановлення файлів із ненадійних веб-сайтів. Крім того, користувачі повинні оновлювати свої операційні системи та програмне забезпечення безпеки, щоб захистити від останніх загроз.
