MetaStealer napada Apple macOS
Novi zlonamjerni softver za krađu informacija pod nazivom MetaStealer usredsredio se na Apple macOS operativni sistem, pridružujući se najnoviji na rastućoj listi porodica kradljivca fokusiranih na ovaj operativni sistem posle MacStealer, Pureland, Atomic Stealer i Realst zlonamjernih softvera.
MetaStealer zlonamjerni softver
U napadima na korisnike MetaStealer se distribuira u obliku obmanjujućih paketa aplikacija upakovanih u format slike diska (DMG). Zlonamjerni akteri stupaju u kontakt sa potencijalnim žrtvama pretvarajući se da su potencijalni klijenti dizajnerskih usluga i djele ZIP arhive zaštićene lozinkom koje sadrže DMG datoteke.
“Bio sam na meti nekoga ko se predstavljao kao klijent za dizajn i nisam shvatio da je nešto neobično. Čovjek sa kojim sam pregovarao na poslu prošle nedjelje mi je poslao ZIP fajl zaštićen lozinkom koji sadrži ovu DMG datoteku, za što sam mislio da je malo čudno. Uprkos mojoj procjeni, pokrenuo sam datoteku na svom računaru da vidim njen sadržaj. Sadržavala je aplikaciju koja je bila prerušena u PDF, koju nisam otvorio i tada sam shvatio da je prevarant.”
MetaStealer distribucija
Uzorci ovog zlonamjernog softvera do kojih su došli sigurnosni istraživači su u paketima zlonamjernih aplikacija sadržanim u formatu slike diska (.DMG) sa imenima koja ukazuju da su mete bili poslovni korisnici Mac uređaja, kao što su:
- Advertising terms of reference (MacOS presentation).dmg
- CONCEPT A3 full menu with dishes and translations to English.dmg
- AnimatedPoster.dmg
- Brief_Presentation-Task_Overview-(SOW)-PlayersClub.dmg
U nekim slučajevima, zlonamjerni softver je bio maskiran u Adobe datoteke ili Adobe Photoshop instalacije. Prikupljeni dokazi sugerišu da su se uzorci MetaStealer zlonamjernog softvera prvi put pojavili u sajber prostoru u martu 2023. godine, a najnoviji uzorak je postavljen na VirusTotal platformi 27. avgusta 2023. godine.
Ovo specifično ciljanje poslovnih korisnika pomalo je neobično za macOS zlonamjerni softver, koji se češće distribuira preko torrent lokacija ili sumnjivih distributera softvera trećih strana kao piratske verzije poslovnog, produktivnog ili drugog popularnog softvera.
MetaStealer mogućnosti
MetaStealer je dizajniran da ukrade informacije uskladištene na kompromitovanim sistemima, uključujući lozinke, datoteke i podatke aplikacija. Zatim pokušava da eksfiltrira ove ukradene podatke preko TCP porta 3000.
Glavna komponenta aktivnog dijela virusa je skrivena izvršna datoteka zasnovana na programskom jeziku Go koja dolazi sa funkcijama da eksfiltrira keychain, sistem za upravljanje lozinkama na nivou sistema za macOS. Keychain čuva akreditive za Internet lokacije, aplikacije, Wi-Fi mreže, certifikate, ključeve za šifrovanje, informacije o kreditnoj kartici i privatne bilješke. Krađa keychain sadržaja je moćna funkcija koja napadačima može omogućiti pristup velikom broju osjetljivih podataka. Pored toga tu je i mogućnost napada na Telegram i Meta (Facebook) servise.
U svojoj trenutnoj verziji, MetaStealer radi isključivo na Intel x86_64 arhitekturi, što znači da ga nije moguće pokrenuti na macOS sistemima koji koriste Apple Silicon procesore (M1, M2) osim ako žrtva ne koristi Rosetta za pokretanje zlonamjernog softvera. Iako ovo ograničenje smanjuje potencijalnu grupu žrtava, neophodno je ostati na oprezu, jer zlonamjerni akteri mogu razviti novu verziju MetaStealer zlonamjernog softvera sa izvornom podrškom za Apple Silicon, što ga čini rasprostranjenijom prijetnjom.
Zaključak
Pojava još jednog zlonamjernog softvera za krađu informacija koji cilja korisnike macOS operativnog istema 2023. godine naglašava sve veću popularnost ciljanja Mac korisnika zbog njihovih podataka među zlonamjernim akterima. Ono što razlikuje MetaStealer od drugih nedavnih zlonamjernih softvera je njegov jasan fokus na poslovne korisnike i cilj izvlačenja vrijednih podataka iz keychain sistema upravljanja lozinkama i drugih informacija iz ovih meta. Ovakvi vrijedni podaci mogu se iskoristiti za dalje kriminalne aktivnosti ili za pristup većim poslovnim mrežama.
Zaštita
Korisnici moraju biti posebno pažljivi kada preuzimaju i otvaraju priloge od nepoznatih pošiljalaca. Potrebno je pažljivo obratiti pažnju na naziv datoteke, kao i obratiti pažnju na znakove upozorenja koji se često pojavljuju u phishing porukama, kao što su pogrešno napisane riječi i loša gramatika.
Korisnici bi trebalo i da razmisle o o korišćenju jednog od preporučenih Mac antivirusnih softverskih rješenja. Naravno, XProtect dolazi unaprijed instaliran na svakom Mac računaru, ali često je dobra ideja uložiti u plaćeni antivirusni softver radi dodatne zaštite.
Korištenje iste lozinke na više platformi će korisnike neizbježno učiniti ranjivim, jer ako jedan nalog bude hakovan, svi oni mogu biti hakovani. Korištenje autentifikacije u dva koraka (2FA) je samo dodatni štit koji će spriječiti zlonamjerne aktere da uđu u korisničke naloge. Obavezno koristiti menadžer lozinki za lakše upravljanje lozinkama. Korisnici bi mogli razmisliti i o zamjeni Apple Keychain sa nekim drugim menadžerom za čuvanje lozinki i drugih osjetljivih informacija.