Нов зловреден софтуер за кражба на информация, наречен MetaStealer, се е насочил към Apple macOS и е последният в нарастващия списък от семейства крадци, фокусирани върху операционната система, след Stealer, Pureland, Atomic Stealer и Realst.

„Участниците в заплахите проактивно се насочват към фирмите, работещи с macOS, като се представят за фалшиви клиенти, за да накарат жертвите чрез социално инженерство да стартират злонамерен полезен товар“, заяви Фил Стоукс, изследовател по сигурността в SentinelOne, в анализ от понеделник.

При тези атаки MetaStealer се разпространява под формата на измамнически пакети с приложения във формат на дисково изображение (DMG), като към целите се подхожда чрез хакери, които се представят за потенциални клиенти на дизайна, за да споделят защитен с парола ZIP архив, съдържащ DMG файла.
В други случаи зловредният софтуер се маскира като файлове на Adobe или инсталатори за Adobe Photoshop. Събраните до момента доказателства показват, че артефактите на MetaStealer са започнали да се появяват в дивата природа през март 2023 г. Последният образец е качен във VirusTotal на 27 август 2023 г.

„Това специфично насочване към бизнес потребители е донякъде необичайно за зловредния софтуер за macOS, който по-често се разпространява чрез торент сайтове или подозрителни дистрибутори на софтуер от трети страни като кракнати версии на бизнес софтуер, софтуер за производителност или друг популярен софтуер“, казва Стоукс.

Основният компонент на полезния товар е обфускулиран изпълним файл, базиран на Go, който е снабден с функции за събиране на данни от iCloud Keychain, запазени пароли и файлове от компрометирания хост.

Наблюдавани са избрани версии на злонамерения софтуер, съдържащи функции, които вероятно са насочени към услугите Telegram и Meta.

SentinelOne съобщи, че е наблюдавала някои варианти на MetaStealer, които се представят за TradingView – същата тактика, която е била възприета от Atomic Stealer през последните седмици.
Това поражда две възможности: Едни и същи автори на зловреден софтуер биха могли да стоят зад двете семейства крадци и да са били възприети от различни  заплахи поради разликите в механизма за доставка, или те са дело на различни групи участници.

„Появата на още един macOS infostealer тази година показва, че тенденцията за насочване към потребителите на Mac за техните данни продължава да набира популярност сред заплахите“, казва Стоукс.

„Това, което прави MetaStealer забележителен сред тази реколта от скорошен зловреден софтуер, е ясната насоченост към бизнес потребители и целта за ексфилтриране на ценна информация от ключодържатели и друга информация от тези цели. Такива данни с висока стойност могат да се използват за по-нататъшна киберпрестъпна дейност или за установяване в по-голяма бизнес мрежа.“