Mac.c: Újgenerációs macOS-infostealer fenyegeti a kriptotárcákat és a felhasználói hitelesítő adatokat


augusztus 25. 14:52

A macOS rendszert célzó kártevők száma ugyan lényegesen alacsonyabb a Windows környezethez képest, azonban az utóbbi években egyre kifinomultabb és célzottabb támadások jelennek meg az Apple ökoszisztémájában is. Ezt erősíti meg a Moonlock Lab legfrissebb jelentése, amely egy Mac.c nevű új, információlopásra specializálódott kártevő (infostealer) megjelenését dokumentálja.

Mac.c: A macOS Malware-as-a-Service (MaaS) új szereplője

A Mac.c néven ismertté vált kártevő egy nyíltan fejlesztett, felhasználóbarát felülettel rendelkező infostealer, amelyet egy „mentalpositive” álnevű fenyegetési szereplő hozott létre. A malware a hírhedt Atomic macOS Stealer (AMOS) könnyített, gyorsabb és kompaktabb változataként pozícionálja magát, optimalizálva az adatok gyors és észrevétlen kiszivárogtatására.

Fő jellemzők:

  • Beépített AppleScript és macOS API-k segítségével végzi a támadási műveleteket.
  • Nem igényel külső függőségeket, így könnyebben észrevétlen marad.
  • Elsősorban trójai telepítők (pl. Adobe crack-ek) álcája mögött jut be a rendszerbe.
  • $1,500 havidíjas szolgáltatásként érhető el, plusz $1,000-ért opcionális Trezor phishing modullal.

Fejlesztési és terjesztési sajátosságok

A mentalpositive nevű fejlesztő szokatlanul transzparens módon publikálta a malware fejlődési szakaszait: kódrészletek, funkciófrissítések és technikai dokumentáció is nyilvánosan megosztásra került dark web fórumokon. Ennek célja feltehetően a bizalomépítés és közösségi elfogadás volt a macOS MaaS közösségen belül.

A Mac.c technikai fejlesztései:

  • Bináris méretoptimalizálás a statikus elemzések elkerülésére.
  • Távoli fájllekérő modul, amely egy admin panelen keresztül működik.
  • Bővített böngészőtámogatás: Chrome, Edge, Brave, Yandex.
  • Trezor kriptotárca seed phrase phishing-modul.
  • Dinamikus build generálás, mellyel elkerüli az Apple XProtect szignatúraalapú detekcióját.

A malware belső elemzése egyezéseket mutat az AMOS kódbázissal, ami kód-újrafelhasználást vagy együttműködést sejtet. Ugyanakkor a fejlesztő igyekezett hangsúlyozni, hogy „fair business” gyakorlatot kíván folytatni, és nem törekszik nyílt konfrontációra az AMOS fejlesztőivel.

Támadási lánc és célpontok

A Mac.c tipikus támadási vektora a phishing vagy malvertising által letöltött, fertőzött [.]dmg telepítő, amely ártalmatlannak tűnő alkalmazásnak álcázza magát.

Támadási folyamat:

  1. Elsődleges payload települ a rendszerre.
  2. Az AppleScript segítségével a hitelesítő adatok begyűjtése történik:
    • iCloud Keychain belépési adatok
    • Böngésző jelszavak (Chrome, Edge, Brave, Yandex)
    • Kriptotárca adatok (MetaMask, Phantom, Binance bővítmények)
    • Rendszerfájlok és metaadat (pl. ~/Documents, ~/Downloads könyvtárak)
  3. Social engineering technika:
    • Hamis rendszerüzenetek megjelenítése.
    • A megadott jelszavakat egyszerű szövegként (plain textben) menti.

Különös figyelem a kriptoeszközökre:

  • A támadásokban érintett tárcák lehetnek: Electrum, Exodus, Coinomi, Atomic, Monero, Wasabi, Ledger Live.
  • Cél: NFT-k, stablecoin-ok és más digitális eszközök azonnali eltulajdonítása felhasználói interakció nélkül.

A Moonlock Lab kutatói valóban azonosították élő példányait olyan fájlneveken, mint:

  • Installer[.]dmg
  • Installer descrakeador adobe[.]dmg

Védekezési stratégiák

A Mac.c megjelenése rávilágít a macOS környezet egyre növekvő sebezhetőségére:

Problémák:

  • A szignatúraalapú vírusvédelem nem elegendő: a dinamikusan generált, egyedileg obfuszkált példányokat nem észleli az XProtect.
  • A malware megbízhatónak tűnő rendszerdialógusokat hoz létre, amelyek megtévesztik a felhasználókat.

Javasolt védekezés:

  • Fejlett viselkedéselemzésen alapuló védelem bevezetése macOS környezetben.
  • Fokozott felhasználói oktatás – különösen kriptotárcát használók esetén.
  • Csak megbízható forrásból származó alkalmazások telepítése.
  • Rendszeres auditálás a rendszerfájlok és a kulcsfontosságú könyvtárak szokatlan hozzáféréseire.

A Mac.c új szintre emeli a macOS-re célzott infostealer fenyegetések világát. Bár funkcionalitásban elmarad az AMOS-tól, gyorsaságra, észrevétlenségre és hatékony terjeszthetőségre optimalizált kialakítása révén komoly veszélyt jelent a kriptotárcákat kezelő felhasználókra nézve.

A mentalpositive nyílt fejlesztési stratégiája és alacsonyabb árazása révén a Mac.c könnyen elérhetővé válhat a kevésbé technikailag képzett fenyegetési szereplők számára is, tovább növelve a macOS ökoszisztémát érő célzott támadások számát.

(gbhackers.com)

Címkék

Apple Infostealer MaaS adathalászat dark web kripto tárca

Kapcsolódó tartalmak: