Pojavio se novi malware za krađu informacija pod nazivom MetaStealer, ciljajući na macOS sisteme. Ovaj maliciozni softver napravljen je pomoću programskog jezika Go i može ukrasti različite osjetljive podatke žrtava.
Proces distribucije
Prema istraživačima SentinelOne, mnogi uzorci malware-a ciljaju poslovne korisnike macOS-a kroz taktike društvenog inženjeringa, gdje se napadači predstavljaju kao lažni dizajn klijenti i namamljuju žrtve da izvrše maliciozne payload-e.
- Ovi mamci su često u obliku paketa malicioznih aplikacija u formatu slike diska (.dmg) s nazivima kao što su Brief_Presentation-Task_Overview-(SOW)-PlayersClub, AnimatedPoster, CONCEPT A3 puni meni sa jelima i prijevodima na engleski, i uvjetima oglašavanja referenca (MacOS prezentacija).
- U jednom slučaju, za distribuciju MetaStealer verzije korištena je datoteka slike diska pod nazivom ‘Ugovor o plaćanju i ugovor o povjerljivosti Lucasprod’a.
- Istraživači su također primijetili nekoliko slučajeva u kojima su hakeri koristili popularna imena softvera, kao što je Adobe, kako bi prevarili žrtve da preuzmu malware.
Specifičnosti malware-a
- Primarna komponenta u paketima MetaStealer je Mach-O datoteka koja je napisana u Intel x86 asembler jeziku.
- Ova datoteka sadrži kompajlirani Go izvorni kod koji je namjerno zamaskiran i teško razumljiv.
- Go Build ID je uklonjen, a nazivi funkcija su skriveni.
- Ova metoda zamagljivanja koja se koristi u ovom malware-u slična je tehnikama koje se koriste u drugim malware-ima kao što su Sliver i Poseidon.
- Štaviše, istraživači tvrde da je nekoliko varijanti malware-a MetaStealer sposobno za Appleovu ugrađenu antivirusnu tehnologiju XProtect.
Prošle nedelje je primećena nova verzija Atomic Stealer-a koja koristi lažnu TradingView aplikaciju za ciljanje korisnika macOS-a. Zanimljivo je da se neke varijante MetaStealer-a takođe pretvaraju da su TradingView.
Da li je MetaStealer sličan Atomic Stealeru?
- Uprkos tome što su oba infostealer-a napravljena pomoću Go i koriste osascript za prikazivanje poruka o grešci nakon izvršenja, nema mnogo sličnosti u stvarnom kodu koji se koristi između MetaStealer-a i Atomic Stealer-a.
- Pored toga, mrežna infrastruktura i način distribucije MetaStealer kampanja značajno se razlikuju od onoga što se vidi u Atomic Stealer-u.
Zaključak
Pojava još jednog macOS infostealer-a naglašava rastući trend ka ciljanju Mac korisnika. Iako Apple-ovo XProtect ažuriranje v2170 sadrži potpis detekcije za neke verzije MetaStealer-a, organizacije mogu preduzeti mjere protiv drugih varijanti pregledom indikatora povezanih sa malware-om i primjenom adekvatnih sigurnosnih rješenja.
Izvor: Cyware Alerts – Hacker News