Neue MetaStealer-Malware zum Diebstahl von Infos zielt auf Macs ab

Eine neue Malware zum Informationsdiebstahl namens MetaStealer hat ihren Fokus auf Apples macOS verlagert und ergänzt damit die wachsende Liste von Malware-Familien zum Informationsdiebstahl, die speziell auf dieses Betriebssystem abzielen. Vor MetaStealer erlebten wir das Aufkommen von Stealer, Pureland, Atomic Stealer und Realst, die sich alle auf macOS konzentrierten.

Laut einer aktuellen Analyse des SentinelOne-Sicherheitsforschers Phil Stokes richten Bedrohungsakteure ihre Bemühungen aktiv auf macOS-Unternehmen. Sie tun dies, indem sie sich als gefälschte Clients ausgeben, um Opfer dazu zu manipulieren, böswillige Aktionen auszuführen.

MetaStealer geht es um Unternehmen

Bei diesen Angriffen wird MetaStealer in Form betrügerischer Anwendungspakete verbreitet, die im Disk-Image-Format (DMG) verpackt sind. Bedrohungsakteure interagieren mit Zielen, indem sie sich als potenzielle Designkunden ausgeben und passwortgeschützte ZIP-Archive mit den DMG-Dateien teilen.

In einigen Fällen hat sich die Malware auch als Adobe-Dateien oder Adobe Photoshop-Installationsprogramme getarnt. Die gesammelten Beweise deuten darauf hin, dass MetaStealer-Artefakte erstmals im März 2023 in freier Wildbahn auftauchten, wobei die neueste Probe am 27. August 2023 auf VirusTotal hochgeladen wurde.

Stokes wies darauf hin, dass diese gezielte Ausrichtung auf Geschäftsanwender für macOS-Malware etwas ungewöhnlich sei. Typischerweise wird macOS-Malware in Form geknackter Versionen beliebter Geschäfts- oder Produktivitätssoftware über Torrent-Sites oder dubiose Software-Drittanbieter verbreitet.

Die Hauptkomponente der Nutzlast ist eine verschleierte ausführbare Datei, die auf der Programmiersprache Go basiert. Diese ausführbare Datei ist mit Funktionen zum Extrahieren von Daten aus dem iCloud-Schlüsselbund, gespeicherten Passwörtern und Dateien auf dem kompromittierten Host ausgestattet. Einige Versionen der Malware scheinen über Funktionen zu verfügen, die wahrscheinlich auf Telegram- und Meta-Dienste abzielen.

SentinelOne stellte fest, dass einige MetaStealer-Varianten die Taktik nutzen, sich als TradingView auszugeben, was kürzlich auch von Atomic Stealer verwendet wurde. Daraus ergeben sich zwei Möglichkeiten: Entweder stecken hinter beiden Malware-Familien dieselben Malware-Autoren, die aufgrund unterschiedlicher Übermittlungsmethoden von unterschiedlichen Bedrohungsakteuren übernommen werden, oder es sind unterschiedliche Gruppen von Bedrohungsakteuren für diese Angriffe verantwortlich.

Das Auftauchen einer weiteren Malware zum Informationsdiebstahl, die es im Jahr 2023 auf macOS-Benutzer abgesehen hat, unterstreicht die zunehmende Beliebtheit von Bedrohungsakteuren, Mac-Benutzer wegen ihrer Daten ins Visier zu nehmen. Was MetaStealer von anderer aktueller Malware unterscheidet, ist sein klarer Fokus auf Geschäftsanwender und das Ziel, wertvolle Schlüsselbund- und andere Informationen von diesen Zielen zu extrahieren. Solche wertvollen Daten können für weitere cyberkriminelle Aktivitäten ausgenutzt werden oder um Zugang zu größeren Unternehmensnetzwerken zu erhalten.