Ny Infostealing MetaStealer-malware retter seg mot Mac-er

En ny skadelig programvare som stjeler informasjon, kalt MetaStealer, har flyttet fokus til Apples macOS, og legger til den voksende listen over familier med informasjonsstjeling som spesifikt retter seg mot dette operativsystemet. Før MetaStealer så vi fremveksten av Stealer, Pureland, Atomic Stealer og Realst, alle konsentrert om macOS.

I følge en fersk analyse av SentinelOne-sikkerhetsforsker Phil Stokes, retter trusselaktører aktivt sin innsats mot macOS-bedrifter. De gjør det ved å utgi seg som falske klienter for å manipulere ofre til å utføre ondsinnede handlinger.

MetaStealer går etter bedrifter

I disse angrepene spres MetaStealer i form av villedende applikasjonspakker pakket i diskbildeformatet (DMG). Trusselaktører engasjerer seg med mål ved å utgi seg for å være potensielle designklienter og dele passordbeskyttede ZIP-arkiver som inneholder DMG-filene.

I noen tilfeller har skadelig programvare også forkledd seg som Adobe-filer eller Adobe Photoshop-installatører. Bevisene som ble samlet inn tyder på at MetaStealer-artefakter først dukket opp i naturen i mars 2023, og den siste prøven ble lastet opp til VirusTotal 27. august 2023.

Stokes bemerket at denne spesifikke målrettingen av forretningsbrukere er noe uvanlig for macOS malware. Vanligvis blir macOS malware funnet distribuert gjennom torrent-nettsteder eller tvilsomme tredjeparts programvaredistributører i form av knekte versjoner av populær forretnings- eller produktivitetsprogramvare.

Den primære komponenten av nyttelasten er en obfuskert kjørbar basert på Go-programmeringsspråket. Denne kjørbare filen er utstyrt med funksjoner for å trekke ut data fra iCloud-nøkkelring, lagrede passord og filer som ligger på den kompromitterte verten. Noen versjoner av skadelig programvare ser ut til å ha funksjoner som sannsynligvis retter seg mot Telegram- og Meta-tjenester.

SentinelOne observerte at noen MetaStealer-varianter bruker taktikken for å etterligne TradingView, som også nylig ble brukt av Atomic Stealer. Dette reiser to muligheter: enten står de samme skadevareforfatterne bak begge skadevarefamiliene, med forskjellige trusselaktører som tar i bruk dem på grunn av variasjoner i leveringsmetoden, eller distinkte grupper av trusselaktører er ansvarlige for disse angrepene.

Fremveksten av enda en skadelig programvare som stjeler informasjon rettet mot MacOS-brukere i 2023, understreker den økende populariteten til å målrette Mac-brukere for deres data blant trusselaktører. Det som skiller MetaStealer fra annen nylig skadelig programvare er dets klare fokus på forretningsbrukere og målet om å trekke ut verdifull nøkkelring og annen informasjon fra disse målene. Slike verdifulle data kan utnyttes til videre cyberkriminelle aktiviteter eller for å få tilgang til større forretningsnettverk.