Új információlopó MetaStealer rosszindulatú program a Mac-eket célozza meg

Egy új információlopó rosszindulatú program, a MetaStealer, az Apple macOS-ére helyezte a hangsúlyt, így bővült azon információlopó kártevőcsaládok egyre növekvő listája, amelyek kifejezetten ezt az operációs rendszert célozzák. A MetaStealer előtt láthattuk a Stealer, a Pureland, az Atomic Stealer és a Realst megjelenését, amelyek mindegyike a macOS-re koncentrált.

A SentinelOne biztonsági kutatója, Phil Stokes legutóbbi elemzése szerint a fenyegetés szereplői aktívan a macOS-üzletek felé irányítják erőfeszítéseiket. Ezt úgy teszik, hogy hamis ügyfeleknek adják ki magukat, hogy az áldozatokat rosszindulatú műveletek végrehajtására manipulálják.

A MetaStealer a vállalkozások után megy

Ezekben a támadásokban a MetaStealer lemezképformátumba (DMG) csomagolt megtévesztő alkalmazáscsomagok formájában terjed. A fenyegető szereplők úgy lépnek kapcsolatba a célpontokkal, hogy potenciális tervezői ügyfeleknek adják ki magukat, és megosztják a DMG-fájlokat tartalmazó, jelszóval védett ZIP-archívumot.

Egyes esetekben a rosszindulatú program Adobe-fájloknak vagy Adobe Photoshop-telepítőknek is álcázta magát. Az összegyűjtött bizonyítékok arra utalnak, hogy a MetaStealer műtermékek először 2023 márciusában jelentek meg a vadonban, a legutóbbi mintát pedig 2023. augusztus 27-én töltötték fel a VirusTotalra.

Stokes megjegyezte, hogy ez az üzleti felhasználók célzása kissé szokatlan a macOS rosszindulatú szoftverek esetében. A macOS rosszindulatú programokat általában torrentoldalakon vagy kétes, harmadik féltől származó szoftverterjesztőkön keresztül terjesztik népszerű üzleti vagy termelékenységi szoftverek feltört verziói formájában.

A hasznos teher elsődleges összetevője a Go programozási nyelven alapuló obfuszkált végrehajtható fájl. Ez a végrehajtható fájl olyan funkciókkal rendelkezik, amelyek lehetővé teszik az adatok kinyerését az iCloud Keychain-ből, a mentett jelszavakat és a feltört gazdagépen található fájlokat. Úgy tűnik, hogy a rosszindulatú program egyes verziói olyan funkciókkal rendelkeznek, amelyek valószínűleg a Telegram és Meta szolgáltatásokat célozzák meg.

A SentinelOne megfigyelte, hogy egyes MetaStealer-változatok a TradingView megszemélyesítésének taktikáját alkalmazzák, amelyet nemrégiben az Atomic Stealer is alkalmazott. Ez két lehetőséget vet fel: vagy ugyanazok a rosszindulatú programok szerzői állnak mindkét kártevőcsalád mögött, és különböző fenyegetési szereplők alkalmazzák őket a szállítási mód eltérései miatt, vagy pedig a fenyegető szereplők külön csoportjai felelősek ezekért a támadásokért.

A macOS-felhasználókat célzó újabb információlopó rosszindulatú program megjelenése 2023-ban rávilágít a Mac-felhasználók adataik megcélzásának növekvő népszerűségére a fenyegetés szereplői körében. A MetaStealert az különbözteti meg a közelmúltban lévő többi rosszindulatú programtól, hogy egyértelműen az üzleti felhasználókra összpontosít, és az a cél, hogy értékes kulcstartókat és egyéb információkat nyerjen ki ezekből a célpontokból. Az ilyen értékes adatok felhasználhatók további kiberbûnözõ tevékenységekhez vagy nagyobb üzleti hálózatokhoz való hozzáféréshez.