Nowe złośliwe oprogramowanie MetaStealer kradnące informacje atakuje komputery Mac
Nowe złośliwe oprogramowanie kradnące informacje, o nazwie MetaStealer, skupiło się na systemie macOS firmy Apple, dodając do rosnącej listy rodzin złośliwego oprogramowania kradnącego informacje, których celem jest konkretnie ten system operacyjny. Przed MetaStealerem widzieliśmy pojawienie się Stealer, Pureland, Atomic Stealer i Realst, wszystkie koncentrujące się na systemie macOS.
Według niedawnej analizy przeprowadzonej przez badacza bezpieczeństwa SentinelOne, Phila Stokesa, cyberprzestępcy aktywnie kierują swoje wysiłki w stronę firm korzystających z systemu macOS. Robią to podszywając się pod fałszywych klientów i manipulując ofiarami, aby wykonywały złośliwe działania.
MetaStealer atakuje firmy
Podczas tych ataków MetaStealer jest rozpowszechniany w postaci zwodniczych pakietów aplikacji spakowanych w formacie obrazu dysku (DMG). Przestępcy atakują cele, udając potencjalnych klientów projektu i udostępniając chronione hasłem archiwa ZIP zawierające pliki DMG.
W niektórych przypadkach złośliwe oprogramowanie ukrywało się również pod postacią plików Adobe lub instalatorów Adobe Photoshop. Zebrane dowody sugerują, że artefakty MetaStealera po raz pierwszy pojawiły się na wolności w marcu 2023 r., a najnowszą próbkę przesłano do VirusTotal 27 sierpnia 2023 r.
Stokes zauważył, że to specyficzne atakowanie użytkowników biznesowych jest dość nietypowe w przypadku złośliwego oprogramowania dla systemu macOS. Zazwyczaj złośliwe oprogramowanie dla systemu macOS jest dystrybuowane za pośrednictwem witryn z torrentami lub podejrzanych zewnętrznych dystrybutorów oprogramowania w postaci pękniętych wersji popularnego oprogramowania biznesowego lub biurowego.
Głównym składnikiem ładunku jest zaciemniony plik wykonywalny oparty na języku programowania Go. Ten plik wykonywalny jest wyposażony w funkcje umożliwiające wyodrębnienie danych z pęku kluczy iCloud, zapisanych haseł i plików znajdujących się na zaatakowanym hoście. Wydaje się, że niektóre wersje złośliwego oprogramowania mają funkcje, które prawdopodobnie atakują usługi Telegram i Meta.
SentinelOne zaobserwował, że niektóre warianty MetaStealera wykorzystują taktykę podszywania się pod TradingView, którą ostatnio zastosował także Atomic Stealer. Stwarzają to dwie możliwości: albo za obydwoma rodzinami szkodliwego oprogramowania stoją ci sami autorzy szkodliwego oprogramowania, a różne podmioty zagrażające przyjmują je ze względu na różnice w metodach dostarczania, albo za te ataki odpowiedzialne są różne grupy podmiotów zagrażających.
Pojawienie się w 2023 r. kolejnego szkodliwego oprogramowania kradnącego informacje, którego celem są użytkownicy systemu macOS, podkreśla rosnącą popularność wśród cyberprzestępców atakowania użytkowników komputerów Mac w celu uzyskania ich danych. Tym, co odróżnia MetaStealera od innych najnowszych szkodliwych programów, jest jego wyraźne skupienie się na użytkownikach biznesowych i cel polegający na wydobyciu z tych celów cennego pęku kluczy i innych informacji. Takie cenne dane można wykorzystać do dalszych działań cyberprzestępczych lub do uzyskania dostępu do większych sieci biznesowych.
