A MacStealer nevet kapta az az új információlopást végző malware, ami képes ellopni az iCloud Kulcskarikában és a webböngészőkben tárolt hitelesítő adatokat, kriptopénztárcákat és egyéb potenciálisan érzékeny fájlokat.
A macOS malware-t felfedező Uptycs fenyegetéskutató csapat szerint a kártevő a macOS Catalina-t (10.15) és az Apple operációs rendszerének legújabb verzióját, a Ventura-t (13.2) célozza.
Célpontban a Mac-felhasználók
A MacStealer-t Malware-as-a-Service (MaaS) szolgáltatásként terjesztik egy hackerfórumon, ahol az eladó azzal indokolja a malware alacsony, csupán 100 dolláros árát, hogy az jelenleg még csak korai fejlesztési fázisban van, azonban hamarosan további funkciókkal bővítik a káros program működését. A malware ezért egyelőre csak előre elkészített DMG payload-okat tartalmaz, amelyekkel macOS Catalina, Big Sur, Monterey és Ventura rendszereket képesek megfertőzni.
Támadás menete
A kiberbűnözők a MacStealer-t egy aláírás nélküli DMG fájlként terjesztik. A támadás során az áldozat egy hamis jelszókérést kap a parancs futtatásával kapcsolatban, amely lehetővé teszi a kártevő számára, hogy jelszavakat gyűjtsön a fertőzött gépről.
A rosszindulatú szoftver fejlesztője azt állítja, hogy a MacStealer a következő adatokat képes ellopni a fertőzött rendszerekről:
- Fiókjelszavak, sütik és hitelkártyaadatok a Firefox, Chrome és Brave böngészőkből
- TXT, DOC, DOCX, PDF, XLS, XLSX, PPT, PPTX, JPG, PNG, CSV, BMP, MP3, ZIP, RAR, PY és DB fájlok
- A Kulcskarikában tárolt jelszavak összegyűjtése és az adatbázis (login.keychain-db) kivonatolása base64 kódolt formában
- Rendszerinformációk gyűjtése
- Coinomi, Exodus, MetaMask, Phantom, Tron, Martian Wallet, Trust wallet, Keplr Wallet és Binance kriptopénztárcák
A Kulcskarika adatbázis egy biztonságos tárolórendszer a macOS-ben, amely a felhasználók jelszavait, privát kulcsait és tanúsítványait tárolja, a bejelentkezési jelszóval titkosítva. A funkció ezután automatikusan be tudja írni a bejelentkezési adatokat a weboldalakon és az alkalmazásokban.
Míg a legtöbb MaaS-művelet a Windows-felhasználókat célozza, a macOS sem immunis az ilyen fenyegetésekre, ezért a felhasználóknak kerülniük kell a fájlok megbízhatatlan webhelyekről való letöltését.
