Novo malware Infostealing MetaStealer tem como alvo Macs
Um novo malware para roubo de informações, chamado MetaStealer, mudou seu foco para o macOS da Apple, aumentando a lista crescente de famílias de malware para roubo de informações que visam especificamente este sistema operacional. Antes do MetaStealer, vimos o surgimento do Stealer, Pureland, Atomic Stealer e Realst, todos concentrados no macOS.
De acordo com uma análise recente do pesquisador de segurança da SentinelOne, Phil Stokes, os agentes de ameaças estão direcionando ativamente seus esforços para as empresas macOS. Eles fazem isso se passando por clientes falsificados para manipular as vítimas para que executem ações maliciosas.
MetaStealer vai atrás de empresas
Nestes ataques, o MetaStealer é disseminado na forma de pacotes de aplicativos enganosos empacotados no formato de imagem de disco (DMG). Os atores da ameaça interagem com os alvos fingindo ser potenciais clientes de design e compartilhando arquivos ZIP protegidos por senha contendo os arquivos DMG.
Em alguns casos, o malware também se disfarçou como arquivos da Adobe ou instaladores do Adobe Photoshop. As evidências coletadas sugerem que os artefatos do MetaStealer apareceram pela primeira vez em março de 2023, com a amostra mais recente sendo carregada no VirusTotal em 27 de agosto de 2023.
Stokes observou que esse direcionamento específico a usuários corporativos é um tanto incomum para malware para macOS. Normalmente, o malware macOS é encontrado distribuído por sites de torrent ou distribuidores de software terceirizados duvidosos na forma de versões crackeadas de softwares comerciais ou de produtividade populares.
O componente principal da carga útil é um executável ofuscado baseado na linguagem de programação Go. Este executável está equipado com funções para extrair dados do iCloud Keychain, senhas salvas e arquivos localizados no host comprometido. Algumas versões do malware parecem ter funcionalidades que provavelmente visam os serviços Telegram e Meta.
SentinelOne observou que algumas variantes do MetaStealer empregam a tática de personificar o TradingView, que também foi usada recentemente pelo Atomic Stealer. Isso levanta duas possibilidades: ou os mesmos autores de malware estão por trás de ambas as famílias de malware, com diferentes agentes de ameaças adotando-os devido a variações no método de entrega, ou grupos distintos de agentes de ameaças são responsáveis por esses ataques.
O surgimento de mais um malware para roubo de informações direcionado a usuários de macOS em 2023 ressalta a popularidade crescente de direcionar seus dados a usuários de Mac entre os atores de ameaças. O que distingue o MetaStealer de outros malwares recentes é seu foco claro nos usuários corporativos e o objetivo de extrair chaves valiosas e outras informações desses alvos. Esses dados valiosos podem ser explorados para outras atividades cibercriminosas ou para obter acesso a redes empresariais maiores.
