Nauja informacijos vagystė „MetaStealer“ kenkėjiška programa skirta „Mac“ kompiuteriams

Nauja informaciją vagianti kenkėjiška programa, pavadinta „MetaStealer“, sutelkė dėmesį į „Apple“ „macOS“, papildydama augantį informaciją vagiančių kenkėjiškų programų šeimų, skirtų konkrečiai šiai operacinei sistemai, sąrašą. Prieš „MetaStealer“ matėme „Stealer“, „Pureland“, „Atomic Stealer“ ir „Realst“ atsiradimą, daugiausia dėmesio skiriant „macOS“.

Remiantis naujausia „SentinelOne“ saugumo tyrinėtojo Philo Stokeso analize, grėsmės veikėjai aktyviai nukreipia savo pastangas į „macOS“ verslą. Jie tai daro apsimesdami suklastotais klientais, kad manipuliuotų aukomis, kad jos atliktų kenkėjiškus veiksmus.

„MetaStealer“ eina paskui verslą

Šių atakų metu „MetaStealer“ platinama apgaulingų programų paketų pavidalu, supakuotų į disko vaizdo formatą (DMG). Grėsmių veikėjai sąveikauja su taikiniais apsimesdami potencialiais dizaino klientais ir dalindamiesi slaptažodžiu apsaugotais ZIP archyvais, kuriuose yra DMG failų.

Kai kuriais atvejais kenkėjiška programa taip pat buvo užmaskuota kaip „Adobe“ failai arba „Adobe Photoshop“ diegimo programos. Surinkti įrodymai rodo, kad „MetaStealer“ artefaktai pirmą kartą gamtoje pasirodė 2023 m. kovo mėn., o naujausias pavyzdys į „VirusTotal“ buvo įkeltas 2023 m. rugpjūčio 27 d.

Stokesas pažymėjo, kad šis specifinis verslo vartotojų taikymas yra šiek tiek neįprastas „MacOS“ kenkėjiškų programų atveju. Paprastai „macOS“ kenkėjiška programa aptinkama, platinama per torrent svetaines arba abejotinus trečiųjų šalių programinės įrangos platintojus kaip nulaužtos populiarios verslo ar produktyvumo programinės įrangos versijos.

Pagrindinis naudingosios apkrovos komponentas yra užtemdytas vykdomasis failas, pagrįstas „Go“ programavimo kalba. Šiame vykdomajame faile yra funkcijos, leidžiančios išgauti duomenis iš „iCloud Keychain“, išsaugotus slaptažodžius ir failus, esančius pažeistame pagrindiniame kompiuteryje. Atrodo, kad kai kurios kenkėjiškos programos versijos turi funkcijų, kurios gali būti skirtos „Telegram“ ir „Meta“ paslaugoms.

„SentinelOne“ pastebėjo, kad kai kuriuose „MetaStealer“ variantuose naudojama „TradingView“ apsimetimo taktika, kurią neseniai taip pat naudojo „Atomic Stealer“. Tai iškelia dvi galimybes: arba tie patys kenkėjiškų programų autoriai yra už abiejų kenkėjiškų programų šeimų, o skirtingi grėsmės subjektai jas priima dėl pristatymo metodo skirtumų, arba už šias atakas atsakingos skirtingos grėsmės subjektų grupės.

Dar vienos informaciją vagiančios kenkėjiškos programos, skirtos „MacOS“ naudotojams, atsiradimas 2023 m. pabrėžia didėjantį „Mac“ naudotojų duomenų taikymo populiarumą tarp grėsmės subjektų. „MetaStealer“ išskiria nuo kitų naujausių kenkėjiškų programų, nes aiškus dėmesys verslo vartotojams ir tikslas iš šių tikslų išgauti vertingą raktų pakabuką ir kitą informaciją. Tokie vertingi duomenys gali būti panaudoti tolimesnei kibernetinei nusikalstamai veiklai arba prieigai prie didesnių verslo tinklų.