Le nouveau logiciel malveillant Infostealing MetaStealer cible les Mac

Un nouveau malware voleur d'informations, nommé MetaStealer, s'est concentré sur macOS d'Apple, s'ajoutant à la liste croissante de familles de logiciels malveillants voleurs d'informations qui ciblent spécifiquement ce système d'exploitation. Avant MetaStealer, nous avons vu l'émergence de Stealer, Pureland, Atomic Stealer et Realst, tous concentrés sur macOS.

Selon une analyse récente de Phil Stokes, chercheur en sécurité chez SentinelOne, les acteurs malveillants orientent activement leurs efforts vers les entreprises macOS. Ils le font en se faisant passer pour des clients contrefaits pour manipuler les victimes afin qu'elles exécutent des actions malveillantes.

MetaStealer s'en prend aux entreprises

Dans ces attaques, MetaStealer est diffusé sous la forme d’ensembles d’applications trompeuses conditionnées au format d’image disque (DMG). Les acteurs de la menace interagissent avec leurs cibles en se faisant passer pour des clients de conception potentiels et en partageant des archives ZIP protégées par mot de passe contenant les fichiers DMG.

Dans certains cas, le logiciel malveillant s'est également déguisé en fichiers Adobe ou en programmes d'installation d'Adobe Photoshop. Les preuves recueillies suggèrent que les artefacts MetaStealer sont apparus pour la première fois dans la nature en mars 2023, l'échantillon le plus récent ayant été téléchargé sur VirusTotal le 27 août 2023.

Stokes a noté que ce ciblage spécifique des utilisateurs professionnels est quelque peu inhabituel pour les logiciels malveillants macOS. En règle générale, les logiciels malveillants macOS sont distribués via des sites torrent ou des distributeurs de logiciels tiers douteux sous la forme de versions crackées de logiciels d'entreprise ou de productivité populaires.

Le composant principal de la charge utile est un exécutable obscurci basé sur le langage de programmation Go. Cet exécutable est équipé de fonctions permettant d'extraire les données du trousseau iCloud, les mots de passe enregistrés et les fichiers situés sur l'hôte compromis. Certaines versions du malware semblent avoir des fonctionnalités qui ciblent probablement les services Telegram et Meta.

SentinelOne a observé que certaines variantes de MetaStealer utilisent la tactique consistant à usurper l'identité de TradingView, qui a également été récemment utilisée par Atomic Stealer. Cela soulève deux possibilités : soit les mêmes auteurs de logiciels malveillants sont à l'origine des deux familles de logiciels malveillants, et différents acteurs de la menace les adoptent en raison de variations dans la méthode de diffusion, soit des groupes distincts d'acteurs de la menace sont responsables de ces attaques.

L’émergence d’un autre malware voleur d’informations ciblant les utilisateurs de macOS en 2023 souligne la popularité croissante du ciblage des utilisateurs de Mac pour leurs données parmi les acteurs malveillants. Ce qui distingue MetaStealer des autres logiciels malveillants récents, c'est son orientation claire vers les utilisateurs professionnels et son objectif d'extraire un trousseau précieux et d'autres informations de ces cibles. Ces données précieuses peuvent être exploitées pour d’autres activités cybercriminelles ou pour accéder à des réseaux commerciaux plus vastes.