新的信息窃取 MetaStealer 恶意软件瞄准 Mac

一种名为 MetaStealer 的新信息窃取恶意软件已将其重点转移到 Apple 的 macOS，加入到专门针对该操作系统的不断增长的信息窃取恶意软件系列中。在 MetaStealer 之前，我们看到了 Stealer、Pureland、Atomic Stealer 和 Realst 的出现，它们都集中在 macOS 上。

根据 SentinelOne 安全研究员 Phil Stokes 最近的一项分析，威胁行为者正积极将攻击目标转向 macOS 业务。他们通过冒充假冒客户来操纵受害者执行恶意行为来实现这一目的。

MetaStealer 追随企业

在这些攻击中，MetaStealer 以以磁盘映像格式 (DMG) 打包的欺骗性应用程序包的形式进行传播。威胁行为者通过冒充潜在的设计客户并共享包含 DMG 文件的受密码保护的 ZIP 存档来与目标互动。

在某些情况下，恶意软件还会将自己伪装成 Adobe 文件或 Adobe Photoshop 安装程序。收集的证据表明，MetaStealer 工件于 2023 年 3 月首次出现在野外，最新样本于 2023 年 8 月 27 日上传到 VirusTotal。

Stokes 指出，这种针对商业用户的特定目标对于 macOS 恶意软件来说有些不寻常。通常，macOS 恶意软件是通过 torrent 网站或可疑的第三方软件分销商以流行商业或生产力软件的破解版本的形式传播的。

有效负载的主要组件是基于 Go 编程语言的模糊可执行文件。该可执行文件具有从 iCloud 钥匙串、保存的密码以及受感染主机上的文件提取数据的功能。该恶意软件的某些版本似乎具有可能针对 Telegram 和 Meta 服务的功能。

SentinelOne 观察到，一些 MetaStealer 变体采用了模仿 TradingView 的策略，Atomic Stealer 最近也使用了这种策略。这就提出了两种可能性：要么是两个恶意软件家族背后都是相同的恶意软件作者，但由于传递方法的不同，不同的威胁行为者采用了它们，或者不同的威胁行为者群体对这些攻击负责。

2023 年，另一种针对 macOS 用户的信息窃取恶意软件的出现，凸显了威胁行为者以 Mac 用户为目标获取数据的情况越来越普遍。 MetaStealer 与其他近期恶意软件的区别在于它明确关注商业用户以及从这些目标中提取有价值的钥匙串和其他信息的目标。这些有价值的数据可用于进一步的网络犯罪活动或访问更大的商业网络。