Το νέο κακόβουλο λογισμικό «MetaStealer» στοχεύει συστήματα macOS που βασίζονται στην Intel
Ένα νέο κακόβουλο
λογισμικό
κλοπής πληροφοριών με το όνομα «MetaStealer» εμφανίστηκε στη φύση, κλέβοντας μια μεγάλη ποικιλία ευαίσθητων πληροφοριών από υπολογιστές macOS που βασίζονται στην Intel.
Το MetaStealer, που δεν πρέπει να συγχέεται με το πρόγραμμα κλοπής πληροφοριών «META» που γνώρισε κάποια δημοτικότητα πέρυσι, είναι ένα κακόβουλο λογισμικό που βασίζεται στο Go και μπορεί να αποφύγει την ενσωματωμένη τεχνολογία προστασίας από ιούς της Apple XProtect, στοχεύοντας επαγγελματίες χρήστες.
SentinelOne
Αναφορές
παρακολουθεί το κακόβουλο λογισμικό τους τελευταίους δύο μήνες, διαπιστώνοντας μια ασυνήθιστη συμμετοχή της κοινωνικής μηχανικής στη διανομή του.
Παρόλο που το κακόβουλο λογισμικό έχει κάποιες ομοιότητες με το Atomic Stealer, ένα άλλο πρόγραμμα κλοπής πληροφοριών στόχευσης macOS που βασίζεται στο Go, η επικάλυψη κώδικα είναι περιορισμένη και οι μέθοδοι παράδοσης είναι διαφορετικές.
Επομένως, το SentinelOne καταλήγει στο συμπέρασμα ότι το MetaStealer είναι μια ξεχωριστή λειτουργία.
Άφιξη σε συστήματα macOS
Το SentinelOne βρήκε ένα δείγμα κακόβουλου λογισμικού στο VirusTotal με ένα σχόλιο που δηλώνει ότι οι παράγοντες απειλών του MetaStealer επικοινωνούν με επιχειρήσεις και υποδύονται τους πελάτες της εταιρείας για να διανείμουν το κακόβουλο λογισμικό.
“Ήμουν στόχος από κάποιον που υποδύθηκε ως πελάτης σχεδιασμού και δεν συνειδητοποίησα ότι τίποτα ήταν ασυνήθιστο. Ο άντρας με τον οποίο διαπραγματευόμουν στη δουλειά αυτή την περασμένη εβδομάδα μου έστειλε ένα αρχείο zip με προστασία κωδικού πρόσβασης που περιείχε αυτό το αρχείο DMG, το οποίο νόμιζα ότι ήταν λίγο περίεργο», αναφέρει το
Σχόλιο VirusTotal
.
“Ενάντια στην καλύτερη κρίση μου, τοποθέτησα την εικόνα στον υπολογιστή μου για να δω το περιεχόμενό της. Περιείχε μια εφαρμογή που ήταν μεταμφιεσμένη σε PDF, την οποία δεν άνοιξα και ήταν όταν συνειδητοποίησα ότι ήταν απατεώνας.”
Στα μηνύματα ηλεκτρονικού ψαρέματος επισυνάπτονται αρχεία εικόνας δίσκου που, όταν τοποθετηθούν στο σύστημα αρχείων, περιέχουν εκτελέσιμα με παραπλανητικά ονόματα που εμφανίζονται ως αρχεία PDF για να εξαπατήσουν το θύμα να τα ανοίξει.
Αρχείο εικόνας δίσκου
(SentinelOne)
Το SentinelOne έχει παρατηρήσει DMG που ονομάζονται από το λογισμικό της
Adobe
ή την εργασία πελάτη, συμπεριλαμβανομένων των εξής:
- Όροι εντολής διαφήμισης (παρουσίαση MacOS).dmg
- Πλήρες μενού CONCEPT A3 με πιάτα και μεταφράσεις στα English.dmg
- AnimatedPoster.dmg
- Brief_Presentation-Task_Overview-(SOW)-PlayersClub.dmg
- AdobeOfficialBriefDescription.dmg
-
Adobe Photoshop
2023
(με AI) installer.dmg
Τα πακέτα εφαρμογών του κακόβουλου λογισμικού περιέχουν τα απολύτως απαραίτητα, δηλαδή ένα αρχείο Info.plist, έναν φάκελο Πόρων με εικόνα εικονιδίου και έναν φάκελο macOS με το κακόβουλο εκτελέσιμο Mach-O.
Κανένα από τα δείγματα που εξετάστηκαν από το SentinelOne δεν ήταν υπογεγραμμένο, παρά τις ορισμένες εκδόσεις που διαθέτουν αναγνωριστικό προγραμματιστή Apple.
Περιεχόμενα δέσμης
(SentinelOne)
Δυνατότητες MetaStealer
Το MetaStealer επιχειρεί να υποκλέψει πληροφορίες που είναι αποθηκευμένες στα παραβιασμένα συστήματα, συμπεριλαμβανομένων κωδικών πρόσβασης, αρχείων και δεδομένων εφαρμογών και, στη συνέχεια, επιχειρεί να τα διευρύνει μέσω TCP μέσω της θύρας 3000.
Συγκεκριμένα, οι λειτουργίες των χαρακτηριστικών κακόβουλου λογισμικού επιτρέπουν την εξαγωγή της αλυσίδας κλειδιών και την εξαγωγή αποθηκευμένων κωδικών πρόσβασης, την κλοπή αρχείων από το σύστημα και τη στόχευση υπηρεσιών Telegram και Meta (Facebook).
Στόχευση σε υπηρεσίες keychain, Telegram και Meta
(SentinelOne)
Το keychain είναι ένα σύστημα διαχείρισης κωδικού πρόσβασης σε επίπεδο συστήματος για macOS, διαχείριση διαπιστευτηρίων για ιστότοπους, εφαρμογές, δίκτυα
WiFi
, πιστοποιητικά, κλειδιά κρυπτογράφησης, πληροφορίες πιστωτικών καρτών, ακόμη και ιδιωτικές σημειώσεις.
Ως εκ τούτου, η απομάκρυνση του περιεχομένου της αλυσίδας κλειδιών είναι ένα ισχυρό
χαρακτηριστικό
που θα μπορούσε να δώσει στους εισβολείς πρόσβαση σε ευαίσθητα δεδομένα.
Στην τρέχουσα έκδοσή του, το MetaStealer εκτελείται μόνο με αρχιτεκτονική Intel x86_64, πράγμα που σημαίνει ότι δεν μπορεί να θέσει σε κίνδυνο τα συστήματα macOS που εκτελούνται σε επεξεργαστές Apple Silicon (M1, M2), εκτός εάν το θύμα χρησιμοποιήσει τη Rosetta για την εκτέλεση του κακόβουλου λογισμικού.
Αυτό μετριάζει την απειλή και την περιορίζει σε έναν συνεχώς μειωμένο αριθμό πιθανών θυμάτων, καθώς οι υπολογιστές Apple που βασίζονται στην Intel καταργούνται σταδιακά.
Ωστόσο, το MetaStealer ενδέχεται να κυκλοφορήσει μια νέα έκδοση που προσθέτει εγγενή υποστήριξη για το Apple Silicon, επομένως είναι μια απειλή που πρέπει να προσέξετε.