Νέο Infostealing MetaStealer Malware στοχεύει Mac

Ένα νέο κακόβουλο λογισμικό κλοπής πληροφοριών, με το όνομα MetaStealer, έχει στρέψει το ενδιαφέρον του στο macOS της Apple, προσθέτοντας στην αυξανόμενη λίστα των οικογενειών κακόβουλου λογισμικού που κλέβουν πληροφορίες που στοχεύουν συγκεκριμένα αυτό το λειτουργικό σύστημα. Πριν από το MetaStealer, είδαμε την εμφάνιση των Stealer, Pureland, Atomic Stealer και Realst, όλα επικεντρωμένα στο macOS.

Σύμφωνα με μια πρόσφατη ανάλυση του ερευνητή ασφαλείας του SentinelOne, Phil Stokes, οι φορείς απειλών κατευθύνουν ενεργά τις προσπάθειές τους προς τις επιχειρήσεις macOS. Το κάνουν παριστάνοντας ως πλαστούς πελάτες για να χειραγωγήσουν τα θύματα για να εκτελέσουν κακόβουλες ενέργειες.

Το MetaStealer κυνηγά τις επιχειρήσεις

Σε αυτές τις επιθέσεις, το MetaStealer διαδίδεται με τη μορφή παραπλανητικών δεσμίδων εφαρμογών συσκευασμένων σε μορφή εικόνας δίσκου (DMG). Οι φορείς απειλών αλληλεπιδρούν με στόχους προσποιούμενοι ότι είναι πιθανοί πελάτες σχεδιασμού και μοιράζονται αρχεία ZIP που προστατεύονται με κωδικό πρόσβασης και περιέχουν τα αρχεία DMG.

Σε ορισμένες περιπτώσεις, το κακόβουλο λογισμικό έχει επίσης μεταμφιεστεί ως αρχεία Adobe ή προγράμματα εγκατάστασης του Adobe Photoshop. Τα στοιχεία που συλλέχθηκαν υποδηλώνουν ότι τα τεχνουργήματα του MetaStealer εμφανίστηκαν για πρώτη φορά στη φύση τον Μάρτιο του 2023, με το πιο πρόσφατο δείγμα να ανέβηκε στο VirusTotal στις 27 Αυγούστου 2023.

Ο Stokes σημείωσε ότι αυτή η συγκεκριμένη στόχευση των επιχειρηματικών χρηστών είναι κάπως ασυνήθιστη για κακόβουλο λογισμικό macOS. Συνήθως, το κακόβουλο λογισμικό macOS εντοπίζεται διανεμημένο μέσω τοποθεσιών torrent ή αμφίβολων τρίτων διανομέων λογισμικού με τη μορφή σπασμένων εκδόσεων δημοφιλούς επιχειρηματικού λογισμικού ή λογισμικού παραγωγικότητας.

Το κύριο συστατικό του ωφέλιμου φορτίου είναι ένα ασαφές εκτελέσιμο αρχείο που βασίζεται στη γλώσσα προγραμματισμού Go. Αυτό το εκτελέσιμο αρχείο είναι εξοπλισμένο με λειτουργίες εξαγωγής δεδομένων από το iCloud Keychain, αποθηκευμένους κωδικούς πρόσβασης και αρχεία που βρίσκονται στον παραβιασμένο κεντρικό υπολογιστή. Ορισμένες εκδόσεις του κακόβουλου λογισμικού φαίνεται να έχουν λειτουργίες που πιθανώς στοχεύουν τις υπηρεσίες Telegram και Meta.

Το SentinelOne παρατήρησε ότι ορισμένες παραλλαγές του MetaStealer χρησιμοποιούν την τακτική της μίμησης του TradingView, η οποία χρησιμοποιήθηκε πρόσφατα και από την Atomic Stealer. Αυτό εγείρει δύο πιθανότητες: είτε οι ίδιοι δημιουργοί κακόβουλου λογισμικού βρίσκονται πίσω από και τις δύο οικογένειες κακόβουλου λογισμικού, με διαφορετικούς παράγοντες απειλών να τους υιοθετούν λόγω παραλλαγών στη μέθοδο παράδοσης, είτε ξεχωριστές ομάδες παραγόντων απειλών είναι υπεύθυνοι για αυτές τις επιθέσεις.

Η εμφάνιση ενός ακόμη κακόβουλου λογισμικού που κλέβει πληροφορίες που στοχεύει χρήστες macOS το 2023 υπογραμμίζει την αυξανόμενη δημοτικότητα της στόχευσης χρηστών Mac για τα δεδομένα τους μεταξύ των παραγόντων απειλών. Αυτό που διακρίνει το MetaStealer από άλλα πρόσφατα κακόβουλα προγράμματα είναι η σαφής εστίασή του σε επιχειρησιακούς χρήστες και ο στόχος της εξαγωγής πολύτιμων κλειδιών και άλλων πληροφοριών από αυτούς τους στόχους. Τέτοια πολύτιμα δεδομένα μπορούν να αξιοποιηθούν για περαιτέρω εγκληματικές δραστηριότητες στον κυβερνοχώρο ή για να αποκτήσουν πρόσβαση σε μεγαλύτερα επιχειρηματικά δίκτυα.