Malware MacStealer cíli na macOS a krade hesla z Klíčenky

Zpět na blog

Nový malware MacStealer se zaměřuje na uživatele počítačů Mac a krade jejich přihlašovací údaje uložené v Klíčence (password manager od Applu) a webových prohlížečích, dále také peněženky s kryptoměnami a potenciálně i citlivé soubory.

MacStealer je distribuován jako malware jako služba (MaaS), tedy vývojář prodává předpřipravené buildy za 100 dolarů, takže kupující mohou šířit malware v rámci svých kampaní. Podle týmu pro výzkum hrozeb Uptycs, který nový malware pro MacOS objevil, může běžet na systému MacOS Catalina (10.15) i na nejnovější verzi operačního systému Apple Ventura (13.2).

MacStealer objevili analytici Uptycs na hackerském fóru na dark webu, kde jej vývojář nabízí a propaguje od začátku března. Prodejce tvrdí, že malware je stále v rané fázi vývoje beta verze a nenabízí žádné panely ani buildery. Místo toho prodává předpřipravené zátěže DMG, které mohou infikovat systémy MacOS Catalina, Big Sur, Monterey a Ventura. Absence builderu a panelu je podle vývojáře důvod, proč malware stojí pouhých 100 dolarů, ale slibuje, že brzy přibydou pokročilejší funkce.

Tvůrce malwaru tvrdí, že MacStealer dokáže z napadených systémů ukrást následující:

  • Hesla k účtům, soubory cookies a údaje o kreditních kartách z prohlížečů Firefox, Chrome a Brave.
  • TXT, DOC, DOCX, PDF, XLS, XLSX, PPT, PPTX, JPG, PNG, CSV, BMP, MP3, ZIP, RAR, PY a DB soubory.
  • Extrahovat databázi Keychain (login.keychain-db) v kódované podobě base64.
  • Systémové informace, informace o heslech.
  • Peněženky kryptoměn Coinomi, Exodus, MetaMask, Phantom, Tron, Martian Wallet, Trust wallet, Keplr Wallet a Binance.

Databáze Klíčenky je zabezpečený úložný systém v systému macOS, který uchovává hesla, soukromé klíče a certifikáty uživatelů a šifruje je jejich přihlašovacím heslem. Funkce pak může automaticky zadávat přihlašovací údaje na webových stránkách a v aplikacích.

Funkce malwaru

MacStealer je distribuovaný jako nepodepsaný soubor DMG, který je určen k tomu, aby jej oběť spustila ve svém systému macOS. Po provedení tohoto úkonu je oběti nabídnuta falešná výzva ke spuštění hesla, která umožní malwaru shromažďovat hesla z napadeného počítače. Malware poté shromáždí všechna data uvedená v předchozí části, uloží je do souboru ZIP a ukradená data odešle na vzdálené příkazové a řídicí servery. Současně MacStealer odesílá některé základní informace na předem nakonfigurovaný kanál Telegramu, což umožňuje operátorovi rychle obdržet upozornění na nová ukradená data a stáhnout soubor ZIP.

Zatímco většina operací MaaS se zaměřuje na uživatele systému Windows, systém MacOS není vůči těmto hrozbám imunní, takže jeho uživatelé by měli zůstat ostražití a vyhýbat se stahování souborů z nedůvěryhodných webových stránek.

Zdroj: Bleepingcomputer.com

5. 4. 2023