El nuevo malware MetaStealer de robo de información se dirige a Mac
Un nuevo malware de robo de información, llamado MetaStealer, ha cambiado su enfoque a macOS de Apple, sumándose a la creciente lista de familias de malware de robo de información que apuntan específicamente a este sistema operativo. Antes de MetaStealer, vimos el surgimiento de Stealer, Pureland, Atomic Stealer y Realst, todos concentrados en macOS.
Según un análisis reciente realizado por el investigador de seguridad de SentinelOne, Phil Stokes, los actores de amenazas están dirigiendo activamente sus esfuerzos hacia las empresas de macOS. Lo hacen haciéndose pasar por clientes falsos para manipular a las víctimas para que ejecuten acciones maliciosas.
MetaStealer va tras las empresas
En estos ataques, MetaStealer se difunde en forma de paquetes de aplicaciones engañosas empaquetadas en formato de imagen de disco (DMG). Los actores de amenazas interactúan con los objetivos haciéndose pasar por posibles clientes de diseño y compartiendo archivos ZIP protegidos con contraseña que contienen los archivos DMG.
En algunos casos, el malware también se ha disfrazado de archivos de Adobe o instaladores de Adobe Photoshop. La evidencia recopilada sugiere que los artefactos MetaStealer aparecieron por primera vez en estado salvaje en marzo de 2023, y la muestra más reciente se cargó en VirusTotal el 27 de agosto de 2023.
Stokes señaló que este objetivo específico de usuarios empresariales es algo inusual para el malware de macOS. Por lo general, el malware para macOS se distribuye a través de sitios de torrents o distribuidores de software de terceros dudosos en forma de versiones descifradas de software empresarial o de productividad popular.
El componente principal de la carga útil es un ejecutable ofuscado basado en el lenguaje de programación Go. Este ejecutable está equipado con funciones para extraer datos del llavero de iCloud, contraseñas guardadas y archivos ubicados en el host comprometido. Algunas versiones del malware parecen tener funcionalidades que probablemente apuntan a los servicios Telegram y Meta.
SentinelOne observó que algunas variantes de MetaStealer emplean la táctica de hacerse pasar por TradingView, que también fue utilizada recientemente por Atomic Stealer. Esto plantea dos posibilidades: o los mismos autores de malware están detrás de ambas familias de malware, con diferentes actores de amenazas adoptándolos debido a variaciones en el método de entrega, o distintos grupos de actores de amenazas son responsables de estos ataques.
La aparición de otro malware de robo de información dirigido a usuarios de macOS en 2023 subraya la creciente popularidad de apuntar a los usuarios de Mac para obtener sus datos entre los actores de amenazas. Lo que distingue a MetaStealer de otros programas maliciosos recientes es su claro enfoque en los usuarios empresariales y el objetivo de extraer llaveros valiosos y otra información de estos objetivos. Estos valiosos datos pueden explotarse para futuras actividades cibercriminales o para obtener acceso a redes comerciales más grandes.
