Miolab Stealer
Miolab,又稱為 Nova,是一款專門針對 macOS 用戶的高級資訊竊取程式。它透過駭客論壇以「惡意軟體即服務」(MaaS)模式傳播,使網路犯罪分子無需深厚的技術專長即可獲得強大的工具包。該惡意軟體能夠從加密貨幣錢包擴充功能、網頁瀏覽器和各種管理應用程式中提取敏感數據,同時還能直接從受感染的系統中竊取檔案。一旦發現該惡意軟體,必須立即將其清除,以最大程度地減少損失。
目錄
設計注重效率,打造方便規避
Miolab並非一款普通的竊取工具;它整合了集中式控制面板和攻擊管理工具,顯著提升了其威脅等級。這種架構使得即使是技術水平較低的攻擊者也能執行複雜的攻擊活動。其輕量且最佳化的架構增強了傳播能力,確保在各種macOS環境下都能穩定運行,並有助於繞過傳統的偵測機制。
命令與控制:簡化攻擊管理
內建控制面板為攻擊者提供受害用戶的結構化概覽,包括地理位置資料和收集到的資訊。它還具備重複使用竊取的Google身分驗證會話的功能,無需密碼或直接繞過雙重認證即可實現未經授權的帳戶存取。
此外,Miolab 支援惡意分發頁面的部署和 ClickFix 式攻擊方法。業者可透過 Telegram 接收即時通知,並可自動化執行攻擊活動的各個階段,進而提高營運效率和規模。
瀏覽器和加密貨幣資料擷取功能
Miolab 會積極攻擊瀏覽器儲存的數據,提取憑證和會話相關訊息,這些資訊可用於進一步的攻擊。其攻擊範圍涵蓋主流瀏覽器和非主流瀏覽器,顯著擴大了其影響範圍。
- 收集的敏感瀏覽器資料包括已儲存的密碼、Cookie、瀏覽記錄以及自動填入資訊(例如電子郵件和地址)。
- 身份驗證訊息,例如 Google 令牌和 Safari Cookie,也會被收集。
受影響的瀏覽器包括 Chrome、Edge、Firefox、Arc、Brave、Librewolf、Opera、Opera GX、SeaMonkey、Tor Browser、Vivaldi、Waterfox、Yandex 和 Coc Coc。 - 除了瀏覽器之外,Miolab 還專注於加密貨幣資產,它會從 200 多個錢包擴充功能中提取 .dat、.key 和 .keys 等檔案。它還會攻擊用於管理硬體錢包的應用程序,從而竊取關鍵的恢復資料。
超越瀏覽器:訊息傳遞和本地資料利用
該惡意軟體的攻擊範圍已擴展至通訊和辦公室應用程式。它可以劫持 Telegram 和 Discord 等平台上的活躍會話,使攻擊者無需憑證即可存取帳戶。它還會檢查 Apple Notes,用戶通常會在不知情的情況下將密碼或加密貨幣恢復短語等敏感資訊儲存在其中。
資料收集完成後,Miolab 會將竊取的資訊壓縮成 ZIP 壓縮包,並透過 HTTP 協定將其洩漏。為了掩蓋其活動,它會顯示一條具有欺騙性的 macOS 錯誤訊息,聲稱應用程式無法運行。
影響:感染的真實代價
Miolab感染可能導致嚴重後果。受害者可能因加密貨幣被盜、帳戶未經授權存取、身分盜竊、聲譽受損而遭受財務損失,並可能因最初的入侵而感染其他惡意軟體。
感染鏈:社會工程的核心
Miolab 嚴重依賴欺騙手段來滲透系統。網路犯罪分子透過偽裝成 macOS 應用程式的磁碟映像 (.DMG) 檔案進行傳播,這些檔案經過精心設計,與合法軟體極為相似。這些安裝程式通常採用極具說服力的品牌標誌、圖標和使用者介面,以增強其可信度。
一旦執行,該惡意軟體會啟動多階段感染程序。它會顯示一個虛假的安裝介面,誘使用戶右鍵單擊並選擇“打開”來繞過安全警告。然後,它會嘗試終止終端應用程序,以限制對其操作的可見性。接著,它會顯示一個偽造的 macOS 密碼提示,誘騙使用者提供系統憑證。
驗證密碼後,Miolab 會收集系統級情報,包括硬體規格和軟體配置。隨後,它會掃描桌面、文件和下載等關鍵目錄,目標是文件、電子表格、PDF 以及與密碼相關的資料等文件。在此過程中,使用者可能會遇到權限請求,而惡意軟體則會在使用者不知情的情況下收集並準備數據,以便將其竊取。
