MacStealer

最近发现的一种名为 MacStealer 的恶意软件正在对 Apple Mac 操作系统的用户构成威胁。这种特殊的恶意软件旨在窃取受害者的敏感信息，包括他们的 iCloud KeyChain 凭据、网络浏览器登录信息、加密货币钱包和其他潜在的重要文件。

让 MacStealer 特别担心的是，它作为“恶意软件即服务”(MaaS) 平台分发，这意味着开发人员正在提供恶意软件的预制版本，以出售给希望进一步传播它的其他人.这些预制构建可以 100 美元的价格购买，使恶意行为者更容易将恶意软件整合到他们自己的活动中。

据最先发现 MacStealer 的 Uptycs 研究人员称，该威胁能够在 macOS Catalina (10.15) 和所有最新版本 Ventura (13.2) 上运行。这意味着几乎所有 Mac 用户都可能容易受到此恶意软件的攻击。

MacStealer 可以破坏范围广泛的敏感信息

MacStealer 是在暗网非法论坛上发现的恶意软件，开发人员一直在该论坛上推广它。卖家声称该恶意软件仍处于早期测试开发阶段，因此不提供面板或构建器。相反，该恶意软件作为预构建的 DMG 有效载荷出售，能够感染 macOS Catalina、Big Sur、Monterey 和 Ventura。

威胁参与者表示，由于缺少构建器或面板，威胁的售价如此之低，但承诺将很快添加更多高级功能。据开发人员称，MacStealer 能够从受感染的系统中窃取范围广泛的敏感数据。

例如，据报道，MacStealer 可以从 Firefox、Chrome 和 Brave 等流行的网络浏览器中窃取帐户密码、cookie 和信用卡详细信息。此外，它还可以提取多种类型的文件，包括 DOC、DOCX、PDF、TXT、XLS、XLSX、PPT、PPTX、CSV、BMP、MP3、JPG、PNG、ZIP、RAR、PY 和 DB 文件。

该恶意软件还能够以 base64 编码形式提取钥匙串数据库 (login.keychain-db)。这是 macOS 系统中的一个安全存储系统，用于保存用户的密码、私钥和证书，并使用登录密码对其进行加密。该功能可以自动在网页和应用程序上输入登录凭据。

最后，MacStealer 可以收集系统信息、Keychain 密码信息，并从众多加密钱包中窃取加密钱包——Coinomi、Exodus、MetaMask、Martian Wallet、Phantom、Tron、Trust wallet、Keplr Wallet 和 Binance。所有这些功能使 MacStealer 成为 Mac 用户高度危险且令人担忧的恶意软件。

MacStealer 恶意软件的操作流程

MacStealer 由威胁参与者作为未签名的 DMG 文件分发。该文件旨在伪装成合法或可取的东西，以诱骗受害者在其 macOS 系统上执行它。一旦受害者执行该文件，就会出现一个伪造的密码提示，它会运行一个命令，使恶意软件能够从受感染的机器上收集密码。

收集密码后，MacStealer 会继续收集其他敏感数据，例如帐户密码、cookie、信用卡详细信息、加密货币钱包和潜在的敏感文件。然后它将所有这些数据存储在一个 ZIP 文件中，该文件被发送到远程命令和控制服务器，稍后由威胁参与者收集。

同时，MacStealer 将特定的基本信息发送到预先配置的 Telegram 通道，这使得威胁行为者可以在每次新数据被盗并下载 ZIP 文件时快速得到通知。

虽然大多数恶意软件即服务 (MaaS) 操作都针对 Windows 用户，但 macOS 也不能幸免于此类威胁。因此，对于 macOS 用户来说，保持警惕并避免从不可信的网站安装文件是很重要的。此外，用户应保持操作系统和安全软件为最新，以抵御最新的威胁。