Nieuwe Infostealing MetaStealer-malware richt zich op Macs

Een nieuwe informatiestelende malware, genaamd MetaStealer, heeft zijn focus verlegd naar Apple's macOS, wat bijdraagt aan de groeiende lijst van informatiestelende malwarefamilies die zich specifiek op dit besturingssysteem richten. Vóór MetaStealer zagen we de opkomst van Stealer, Pureland, Atomic Stealer en Realst, allemaal geconcentreerd op macOS.

Volgens een recente analyse van SentinelOne-beveiligingsonderzoeker Phil Stokes richten bedreigingsactoren hun inspanningen actief op macOS-bedrijven. Ze doen dit door zich voor te doen als valse klanten en zo slachtoffers te manipuleren om kwaadaardige acties uit te voeren.

MetaStealer gaat achter bedrijven aan

Bij deze aanvallen wordt MetaStealer verspreid in de vorm van misleidende applicatiebundels verpakt in het schijfimageformaat (DMG). Bedreigingsactoren richten zich op doelwitten door zich voor te doen als potentiële ontwerpklanten en door met een wachtwoord beveiligde ZIP-archieven met de DMG-bestanden te delen.

In sommige gevallen heeft de malware zich ook vermomd als Adobe-bestanden of Adobe Photoshop-installatieprogramma's. Het verzamelde bewijsmateriaal suggereert dat MetaStealer-artefacten voor het eerst in het wild verschenen in maart 2023, waarbij het meest recente monster op 27 augustus 2023 naar VirusTotal werd geüpload.

Stokes merkte op dat deze specifieke targeting op zakelijke gebruikers enigszins ongebruikelijk is voor macOS-malware. Meestal wordt macOS-malware verspreid via torrent-sites of dubieuze softwaredistributeurs van derden in de vorm van gekraakte versies van populaire bedrijfs- of productiviteitssoftware.

Het primaire onderdeel van de payload is een versluierd uitvoerbaar bestand gebaseerd op de Go-programmeertaal. Dit uitvoerbare bestand is uitgerust met functies om gegevens uit iCloud-sleutelhanger, opgeslagen wachtwoorden en bestanden op de getroffen host te extraheren. Sommige versies van de malware lijken functionaliteiten te hebben die zich waarschijnlijk richten op Telegram- en Meta-services.

SentinelOne merkte op dat sommige MetaStealer-varianten de tactiek gebruiken om zich voor te doen als TradingView, die onlangs ook werd gebruikt door Atomic Stealer. Dit brengt twee mogelijkheden met zich mee: ofwel zitten dezelfde malware-auteurs achter beide malwarefamilies, waarbij verschillende bedreigingsactoren deze adopteren vanwege variaties in de leveringsmethode, ofwel zijn verschillende groepen van bedreigingsactoren verantwoordelijk voor deze aanvallen.

De opkomst van nog een andere informatiestelende malware die zich richt op macOS-gebruikers in 2023 onderstreept de toenemende populariteit onder bedreigingsactoren van het aanvallen van Mac-gebruikers op hun gegevens. Wat MetaStealer onderscheidt van andere recente malware is de duidelijke focus op zakelijke gebruikers en het doel om waardevolle sleutelhanger- en andere informatie uit deze doelwitten te halen. Dergelijke waardevolle gegevens kunnen worden misbruikt voor verdere cybercriminele activiteiten of om toegang te krijgen tot grotere bedrijfsnetwerken.