Primijećen je novi maliciozni softver za krađu informacija, infostealer, koji cilja Catalina i novije verzije macOS-a koji rade na Intel M1 i M2 čipovima. Istraživač bezbjednosti Shilpesh Trivedi iz Uptycs-a raspravljao je o nalazima u savjetovanju objavljenom u petak.
“Tim za istraživanje pretnji Uptycs-a otkrio je kradljivca macOS-a koji kontroliše svoje operacije preko Telegram-a” napisao je Trivedi. “Nazvali smo ga MacStealer.”
Infostealer je otkriven tokom jedne od operacija lova na dark web kompanije. Maliciozni softver može izvući informacije iz dokumenata, kolačića pretraživača kao što su Firefox, Google Chrome i Brave i podataka za prijavu.
“Haker koristi .DMG datoteku za širenje malicioznog softvera. Nakon što korisnik izvrši datoteku, otvara se upit za lažnu lozinku za prikupljanje lozinki” objasnio je Trivedi.
Infostealer je zatim uočen kako kreira ZIP arhive ukradenih podataka i šalje ih svojoj komandnoj i kontrolnoj (C2) infrastrukturi putem POST zahtjeva koristeći komandu Python korisničkog agenta. Svoj lanac napada zaključuje brisanjem podataka i ZIP datoteke iz sistema žrtve.
“Istovremeno, MacStealer prenosi odabrane informacije na navedene Telegram kanale” rekao je Trivedi. “Kada pošalje kompajliranu ZIP datoteku C2, dijeli datoteku s ličnim Telegram botom pretnje.”
Gledajući VirusTotal graf za MacStealer, Uptycs tim je uočio nekoliko različitih uzoraka malicioznog softvera. Činilo se da haker između infostealer-a aktivno radi na njegovom ažuriranju novim funkcijama, uključujući krađu kriptovaluta, obrnuti shell i još mnogo toga.
“Otkrili smo da distributer ima narudžbu za masovnu proizvodnju za MacStealer od drugih hakera, tako da će se maliciozni softver vjerovatno širiti” upozorio je Trivedi.
Kako bi se zaštitili od ove pretnje, istraživači bezbjednosti su preporučili korisnicima da ažuriraju svoje Mac sisteme i dozvoljavaju samo instalaciju datoteka iz pouzdanih izvora dozvoljenih postavkom „Dozvoli preuzimanje aplikacija iz App Store/App Store i identifikovanih programera“.
Otkriće MacStealer-a dolazi nekoliko sedmica nakon što su istraživači bezbjednosti Trellix-a otkrili novu klasu grešaka za eskalaciju privilegija na macOS-u i iOS-u.
Izvor: Infosecurity Magazine