Miolab Stealer
Miolab,又名 Nova,是一款专门针对 macOS 用户的高级信息窃取程序。它通过黑客论坛以“恶意软件即服务”(MaaS)模式传播,使网络犯罪分子无需深厚的技术专长即可获得强大的工具包。该恶意软件能够从加密货币钱包扩展程序、网页浏览器和各种管理应用程序中提取敏感数据,同时还能直接从受感染的系统中窃取文件。一旦发现该恶意软件,必须立即将其清除,以最大程度地减少损失。
目录
设计注重效率,打造便于规避
Miolab并非一款普通的窃取工具;它集成了集中式控制面板和攻击管理工具,显著提升了其威胁级别。这种架构使得即使是技术水平较低的攻击者也能执行复杂的攻击活动。其轻量级且优化的架构增强了传播能力,确保在各种macOS环境下都能稳定运行,并有助于绕过传统的检测机制。
命令与控制:简化攻击管理
内置控制面板为攻击者提供受害用户的结构化概览,包括地理位置数据和收集到的信息。它还具备重用窃取的谷歌身份验证会话的功能,无需密码或直接绕过双因素身份验证即可实现未经授权的帐户访问。
此外,Miolab 支持恶意分发页面的部署和 ClickFix 式攻击方法。运营者可通过 Telegram 接收实时通知,并可自动化执行攻击活动的各个阶段,从而提高运营效率和规模。
浏览器和加密货币数据提取功能
Miolab 会积极攻击浏览器存储的数据,提取凭据和会话相关信息,这些信息可用于进一步的攻击。其攻击范围涵盖主流浏览器和非主流浏览器,显著扩大了其影响范围。
- 收集的敏感浏览器数据包括已保存的密码、Cookie、浏览历史记录以及自动填充信息(例如电子邮件和地址)。
- 身份验证信息,例如 Google 令牌和 Safari Cookie,也会被收集。
受影响的浏览器包括 Chrome、Edge、Firefox、Arc、Brave、Librewolf、Opera、Opera GX、SeaMonkey、Tor Browser、Vivaldi、Waterfox、Yandex 和 Coc Coc。 - 除了浏览器之外,Miolab 还专注于加密货币资产,它会从 200 多个钱包扩展程序中提取 .dat、.key 和 .keys 等文件。它还会攻击用于管理硬件钱包的应用程序,从而窃取关键的恢复数据。
超越浏览器:消息传递和本地数据利用
该恶意软件的攻击范围已扩展至通信和办公应用程序。它可以劫持 Telegram 和 Discord 等平台上的活跃会话,使攻击者无需凭证即可访问帐户。它还会检查 Apple Notes,用户通常会在不知情的情况下将密码或加密货币恢复短语等敏感信息存储在其中。
数据收集完成后,Miolab 会将窃取的信息压缩成 ZIP 压缩包,并通过 HTTP 协议将其泄露。为了掩盖其活动,它会显示一条具有欺骗性的 macOS 错误信息,声称应用程序无法运行。
影响:感染的真实代价
Miolab感染可能导致严重后果。受害者可能因加密货币被盗、账户未经授权访问、身份盗窃、声誉受损而遭受经济损失,并且可能因最初的入侵而感染其他恶意软件。
感染链:社会工程学的核心
Miolab 严重依赖欺骗手段来渗透系统。网络犯罪分子通过伪装成 macOS 应用程序的磁盘映像 (.DMG) 文件进行传播,这些文件经过精心设计,与合法软件极为相似。这些安装程序通常采用极具说服力的品牌标识、图标和用户界面,以增强其可信度。
一旦执行,该恶意软件会启动多阶段感染过程。它会显示一个虚假的安装界面,诱使用户右键单击并选择“打开”来绕过安全警告。然后,它会尝试终止终端应用程序,以限制对其操作的可见性。接着,它会显示一个伪造的 macOS 密码提示,诱骗用户提供系统凭据。
验证密码后,Miolab 会收集系统级情报,包括硬件规格和软件配置。随后,它会扫描桌面、文档和下载等关键目录,目标是文档、电子表格、PDF 以及与密码相关的数据等文件。在此过程中,用户可能会遇到权限请求,而恶意软件则会在用户不知情的情况下收集并准备数据,以便将其窃取。
