MKD-CIRT National Centre for Computer Incident Response
Новиот малициозен софтвер за крадење информации познат како MacStealer ги таргетира Mac корисниците, крадејќи ги нивните податоци зачувани во iCloud KeyChain и веб-прелистувачите, паричниците за криптовалути и потенцијално чувствителните датотеки.
MacStealer се дистрибуира како malware as a service (MaaS), каде што развивачот продава однапред направени изданија за 100 долари, дозволувајќи им на купувачите да го шират малициозниот софтвер во нивните кампањи.
Според истражувачкиот тим за закани на Uptycs кој го откри новиот малициозен софтвер за macOS, тој може да работи на macOS Catalina (10.15) и до најновата верзија на оперативниот систем на Apple, Ventura (13.2).
MacStealer беше откриен од страна на аналитичарите на Uptycs на форум за хакирање на темната веб-страница каде што развивачот го промовираше од почетокот на месецот.
Продавачот тврди дека малициозниот софтвер е сè уште во рана фаза на развој и не нуди панели. Наместо тоа, продава однапред формирани DMG payloads што може да ги зарази macOS Catalina, Big Sur, Monterey и Ventura.
Хакерот го користи недостатокот на панел за да ја оправда ниската цена од 100 долари за малициозен софтвер, но ветува дека наскоро ќе пристигнат понапредни функции.
Развивачот на малициозен софтвер тврди дека MacStealer може да ги украде следниве податоци од компромитирани системи:
– Лозинки за сметка, колачиња и детали за кредитна картичка од Firefox, Chrome и Brave.
– TXT, DOC, DOCX, PDF, XLS, XLSX, PPT, PPTX, JPG, PNG, CSV, BMP, MP3, ZIP, RAR, PY и DB датотеки
– Да ја отпакува Keychain базата на податоци (login.keychain-db) во base64 шифрирана форма
– Да собира информации за системот
– Да собира информации за Keychain лозинката
– Coinomi, Exodus, MetaMask, Phantom, Tron, Martian Wallet, Trust wallet, Keplr Wallet и Binance паричници за криптовалути
Keychain базата на податоци е безбеден систем за складирање во macOS кој ги чува лозинките, приватните клучеви и сертификатите на корисниците, шифрирајќи го со нивната лозинка за најавување. Функцијата потоа може автоматски да ги внесува податоците за најавување на веб-страниците и апликациите.
Хакерите го дистрибуираат MacStealer како непотпишана DMG-датотека која се претставува како нешто што жртвата е измамена да го изврши на нивниот macOS.
Откако ќе го направи тоа, на жртвата и се нуди лажна лозинка за да изврши команда што му овозможува на малициозниот софтвер да собира лозинки од компромитирана машина.
Малициозниот софтвер потоа ги собира сите податоци, ги складира во ZIP-датотека и ги испраќа украдените податоци до далечински сервери за команди и контрола кои подоцна ќе бидат собрани од страна на хакерот.
Во исто време, MacStealer испраќа некои основни информации до претходно конфигуриран канал на Telegram, овозможувајќи му на хакерот брзо да биде известен кога се украдени нови податоци и да ја преземе ZIP-датотеката.
Иако повеќето операции на MaaS се насочени кон Windows корисниците, macOS не е имун на такви закани, па затоа неговите корисници треба да бидат внимателни и да избегнуваат преземање датотеки од недоверливи веб-страници.
Минатиот месец, безбедносниот истражувач iamdeadlyz, исто така, откри нов малициозен софтвер за крадење информации за Mac, дистрибуиран во phishing кампања која ги таргетира играчите на блокчејн играта „The Sandbox“.
Тој малициозен софтвер ги таргетирал и податоците зачувани во прелистувачи и паричници со криптовалути, вклучувајќи ги Exodus, Phantom, Atomic, Electrum и MetaMask.
Извор: BleepingComputer