Ny Infostealing MetaStealer Malware retter sig mod Macs

En ny informationstjælende malware, ved navn MetaStealer, har flyttet sit fokus til Apples macOS, og tilføjer til den voksende liste over informationstjælende malware-familier, der specifikt er rettet mod dette operativsystem. Før MetaStealer så vi fremkomsten af Stealer, Pureland, Atomic Stealer og Realst, som alle koncentrerede sig om macOS.

Ifølge en nylig analyse af SentinelOne-sikkerhedsforsker Phil Stokes, retter trusselsaktører aktivt deres indsats mod macOS-virksomheder. Det gør de ved at udgive sig for at være falske klienter for at manipulere ofre til at udføre ondsindede handlinger.

MetaStealer går efter virksomheder

I disse angreb spredes MetaStealer i form af vildledende applikationsbundter pakket i diskimage-formatet (DMG). Trusselaktører engagerer sig i mål ved at foregive at være potentielle designklienter og dele adgangskodebeskyttede ZIP-arkiver, der indeholder DMG-filerne.

I nogle tilfælde har malwaren også forklædt sig som Adobe-filer eller Adobe Photoshop-installationsprogrammer. De indsamlede beviser tyder på, at MetaStealer-artefakter først dukkede op i naturen i marts 2023, hvor den seneste prøve blev uploadet til VirusTotal den 27. august 2023.

Stokes bemærkede, at denne specifikke målretning af forretningsbrugere er noget usædvanlig for macOS malware. Typisk findes macOS-malware distribueret gennem torrent-websteder eller tvivlsomme tredjepartssoftwaredistributører i form af crackede versioner af populær forretnings- eller produktivitetssoftware.

Den primære komponent i nyttelasten er en sløret eksekverbar, baseret på Go-programmeringssproget. Denne eksekverbare fil er udstyret med funktioner til at udtrække data fra iCloud-nøglering, gemte adgangskoder og filer placeret på den kompromitterede vært. Nogle versioner af malwaren ser ud til at have funktioner, der sandsynligvis er rettet mod Telegram- og Meta-tjenester.

SentinelOne observerede, at nogle MetaStealer-varianter anvender taktikken med at efterligne TradingView, som også for nylig blev brugt af Atomic Stealer. Dette rejser to muligheder: enten står de samme malware-forfattere bag begge malware-familier, hvor forskellige trusselsaktører adopterer dem på grund af variationer i leveringsmetoden, eller også er forskellige grupper af trusselsaktører ansvarlige for disse angreb.

Fremkomsten af endnu en informationstjælende malware rettet mod macOS-brugere i 2023 understreger den stigende popularitet af at målrette Mac-brugere for deres data blandt trusselsaktører. Det, der adskiller MetaStealer fra andre nyere malware, er dets klare fokus på forretningsbrugere og målet om at udtrække værdifuld nøglering og anden information fra disse mål. Sådanne værdifulde data kan udnyttes til yderligere cyberkriminelle aktiviteter eller til at få adgang til større forretningsnetværk.