Il nuovo malware Infostealing MetaStealer prende di mira i Mac

Un nuovo malware per il furto di informazioni, denominato MetaStealer, ha spostato la sua attenzione su macOS di Apple, aggiungendosi all'elenco crescente di famiglie di malware per il furto di informazioni che prendono di mira specificamente questo sistema operativo. Prima di MetaStealer, abbiamo visto l'emergere di Stealer, Pureland, Atomic Stealer e Realst, tutti concentrati su macOS.

Secondo una recente analisi del ricercatore di sicurezza SentinelOne Phil Stokes, gli autori delle minacce stanno indirizzando attivamente i loro sforzi verso le aziende macOS. Lo fanno fingendosi clienti contraffatti per manipolare le vittime affinché eseguano azioni dannose.

MetaStealer dà la caccia alle aziende

In questi attacchi, MetaStealer viene diffuso sotto forma di pacchetti di applicazioni ingannevoli confezionati nel formato immagine disco (DMG). Gli autori delle minacce interagiscono con gli obiettivi fingendo di essere potenziali clienti di progettazione e condividendo archivi ZIP protetti da password contenenti i file DMG.

In alcuni casi, il malware si è anche camuffato da file Adobe o programmi di installazione di Adobe Photoshop. Le prove raccolte suggeriscono che gli artefatti MetaStealer sono apparsi per la prima volta in natura nel marzo 2023, con il campione più recente caricato su VirusTotal il 27 agosto 2023.

Stokes ha osservato che questo specifico targeting degli utenti aziendali è alquanto insolito per il malware macOS. In genere, il malware macOS viene trovato distribuito tramite siti torrent o discutibili distributori di software di terze parti sotto forma di versioni crackate di popolari software aziendali o di produttività.

Il componente principale del payload è un eseguibile offuscato basato sul linguaggio di programmazione Go. Questo eseguibile è dotato di funzioni per estrarre dati dal portachiavi iCloud, password salvate e file situati sull'host compromesso. Alcune versioni del malware sembrano avere funzionalità che probabilmente prendono di mira i servizi Telegram e Meta.

SentinelOne ha osservato che alcune varianti di MetaStealer utilizzano la tattica di impersonare TradingView, utilizzata recentemente anche da Atomic Stealer. Ciò solleva due possibilità: o dietro entrambe le famiglie di malware ci sono gli stessi autori di malware, con diversi autori di minacce che li adottano a causa di variazioni nel metodo di distribuzione, oppure gruppi distinti di autori di minacce sono responsabili di questi attacchi.

L’emergere di un altro malware in grado di rubare informazioni contro gli utenti macOS nel 2023 sottolinea la crescente popolarità di prendere di mira gli utenti Mac per i loro dati tra gli autori delle minacce. Ciò che distingue MetaStealer da altri malware recenti è la sua chiara attenzione agli utenti aziendali e l'obiettivo di estrarre preziosi portachiavi e altre informazioni da questi obiettivi. Dati così preziosi possono essere sfruttati per ulteriori attività criminali informatiche o per ottenere l’accesso a reti aziendali più grandi.