新的信息竊取 MetaStealer 惡意軟件瞄準 Mac

一種名為 MetaStealer 的新型信息竊取惡意軟件已將其重點轉移到 Apple 的 macOS，加入到專門針對該操作系統的不斷增長的信息竊取惡意軟件家族列表中。在 MetaStealer 之前，我們看到了 Stealer、Pureland、Atomic Stealer 和 Realst 的出現，它們都集中在 macOS 上。

根據 SentinelOne 安全研究員 Phil Stokes 最近的一項分析，威脅行為者正積極將攻擊目標轉向 macOS 業務。他們通過冒充假冒客戶來操縱受害者執行惡意行為來實現這一目的。

MetaStealer 追隨企業

在這些攻擊中，MetaStealer 以以磁盤映像格式 (DMG) 打包的欺騙性應用程序包的形式進行傳播。威脅行為者通過冒充潛在的設計客戶並共享包含 DMG 文件的受密碼保護的 ZIP 存檔來與目標互動。

在某些情況下，惡意軟件還會將自己偽裝成 Adobe 文件或 Adobe Photoshop 安裝程序。收集的證據表明，MetaStealer 工件於 2023 年 3 月首次出現在野外，最新樣本於 2023 年 8 月 27 日上傳到 VirusTotal。

Stokes 指出，這種針對商業用戶的特定目標對於 macOS 惡意軟件來說有些不尋常。通常，macOS 惡意軟件是通過 torrent 網站或可疑的第三方軟件分銷商以流行商業或生產力軟件的破解版本的形式傳播的。

有效負載的主要組件是基於 Go 編程語言的模糊可執行文件。該可執行文件具有從 iCloud 鑰匙串、保存的密碼以及受感染主機上的文件提取數據的功能。該惡意軟件的某些版本似乎具有可能針對 Telegram 和 Meta 服務的功能。

SentinelOne 觀察到，一些 MetaStealer 變體採用了模仿 TradingView 的策略，Atomic Stealer 最近也使用了這種策略。這就提出了兩種可能性：要么是兩個惡意軟件家族背後都是相同的惡意軟件作者，但由於傳遞方法的不同，不同的威脅行為者採用了它們，或者不同的威脅行為者群體對這些攻擊負責。

2023 年，另一種針對 macOS 用戶的信息竊取惡意軟件的出現，凸顯了威脅行為者以 Mac 用戶為目標獲取數據的情況越來越普遍。 MetaStealer 與其他近期惡意軟件的區別在於它明確關注商業用戶以及從這些目標中提取有價值的鑰匙串和其他信息的目標。這些有價值的數據可用於進一步的網絡犯罪活動或訪問更大的商業網絡。