Новая вредоносная программа MetaStealer для кражи информации нацелена на компьютеры Mac
Новое вредоносное ПО для кражи информации под названием MetaStealer сместило свое внимание на macOS Apple, пополнив растущий список семейств вредоносных программ для кражи информации, специально нацеленных на эту операционную систему. До MetaStealer мы видели появление Stealer, Pureland, Atomic Stealer и Realst, все они были сосредоточены на macOS.
Согласно недавнему анализу исследователя безопасности SentinelOne Фила Стоукса, субъекты угроз активно направляют свои усилия на бизнес macOS. Они делают это, выдавая себя за поддельных клиентов, чтобы манипулировать жертвами и заставлять их совершать вредоносные действия.
MetaStealer преследует бизнес
В ходе этих атак MetaStealer распространяется в виде мошеннических пакетов приложений, упакованных в формат образа диска (DMG). Злоумышленники взаимодействуют с целями, выдавая себя за потенциальных клиентов по дизайну и обмениваясь защищенными паролем ZIP-архивами, содержащими файлы DMG.
В некоторых случаях вредоносное ПО также маскируется под файлы Adobe или установщики Adobe Photoshop. Собранные доказательства позволяют предположить, что артефакты MetaStealer впервые появились в природе в марте 2023 года, а самый последний образец был загружен на VirusTotal 27 августа 2023 года.
Стоукс отметил, что такая конкретная нацеленность на бизнес-пользователей несколько необычна для вредоносного ПО для macOS. Обычно вредоносное ПО для macOS распространяется через торрент-сайты или сомнительных сторонних распространителей программного обеспечения в виде взломанных версий популярного программного обеспечения для бизнеса или повышения производительности.
Основным компонентом полезной нагрузки является запутанный исполняемый файл, основанный на языке программирования Go. Этот исполняемый файл оснащен функциями для извлечения данных из iCloud Keychain, сохраненных паролей и файлов, расположенных на скомпрометированном хосте. Некоторые версии вредоносного ПО, по-видимому, обладают функциями, которые, вероятно, нацелены на Telegram и мета-сервисы.
SentinelOne заметил, что некоторые варианты MetaStealer используют тактику выдачи себя за TradingView, которую недавно также использовал Atomic Stealer. Это порождает две возможности: либо за обоими семействами вредоносных программ стоят одни и те же авторы вредоносного ПО, а разные злоумышленники используют их из-за различий в методах доставки, либо за эти атаки несут ответственность отдельные группы злоумышленников.
Появление в 2023 году еще одного вредоносного ПО для кражи информации, нацеленного на пользователей macOS, подчеркивает растущую популярность среди злоумышленников атак на пользователей Mac ради их данных. Что отличает MetaStealer от других недавних вредоносных программ, так это его четкая ориентация на бизнес-пользователей и цель извлечения ценной связки ключей и другой информации из этих целей. Такие ценные данные могут быть использованы для дальнейшей киберпреступной деятельности или для получения доступа к более крупным бизнес-сетям.
