Ny Infostealing MetaStealer Malware riktar sig till Mac-datorer

En ny skadlig programvara som stjäl information, som heter MetaStealer, har flyttat fokus till Apples macOS, och lagt till den växande listan över familjer med skadlig programvara som stjäl information som specifikt riktar sig till detta operativsystem. Före MetaStealer såg vi uppkomsten av Stealer, Pureland, Atomic Stealer och Realst, alla koncentrerade på macOS.

Enligt en färsk analys av SentinelOne-säkerhetsforskaren Phil Stokes riktar hotaktörer aktivt sina ansträngningar mot macOS-företag. De gör det genom att utge sig för att vara förfalskade kunder för att manipulera offer till att utföra skadliga handlingar.

MetaStealer går efter företag

I dessa attacker sprids MetaStealer i form av vilseledande applikationspaket förpackade i diskavbildningsformatet (DMG). Hotskådespelare engagerar sig med mål genom att låtsas vara potentiella designklienter och dela lösenordsskyddade ZIP-arkiv som innehåller DMG-filerna.

I vissa fall har den skadliga programvaran också maskerat sig som Adobe-filer eller Adobe Photoshop-installatörer. De insamlade bevisen tyder på att MetaStealer-artefakter först dök upp i naturen i mars 2023, och det senaste provet laddades upp till VirusTotal den 27 augusti 2023.

Stokes noterade att denna specifika inriktning på affärsanvändare är något ovanlig för macOS malware. Vanligtvis hittas macOS-skadlig programvara distribuerad via torrent-webbplatser eller tvivelaktiga tredjepartsprogramvarudistributörer i form av knäckta versioner av populära affärs- eller produktivitetsprogram.

Den primära komponenten i nyttolasten är en obfuskerad körbar baserad på programmeringsspråket Go. Den här körbara filen är utrustad med funktioner för att extrahera data från iCloud-nyckelring, sparade lösenord och filer som finns på den komprometterade värden. Vissa versioner av skadlig programvara verkar ha funktioner som sannolikt är inriktade på Telegram- och Metatjänster.

SentinelOne observerade att vissa MetaStealer-varianter använder taktiken att imitera TradingView, som också nyligen användes av Atomic Stealer. Detta ger upphov till två möjligheter: antingen står samma skadlig programvara bakom båda skadliga programfamiljerna, med olika hotaktörer som använder dem på grund av variationer i leveransmetoden, eller så är olika grupper av hotaktörer ansvariga för dessa attacker.

Framväxten av ännu en informationsstöldande skadlig programvara som riktar sig till macOS-användare under 2023 understryker den ökande populariteten av att rikta in sig på Mac-användare för deras data bland hotaktörer. Det som skiljer MetaStealer från andra nyare skadliga program är dess tydliga fokus på affärsanvändare och målet att extrahera värdefull nyckelring och annan information från dessa mål. Sådana värdefulla data kan utnyttjas för ytterligare cyberkriminella aktiviteter eller för att få tillgång till större affärsnätverk.