Macstealer adlı yeni bir bilgi kullanan kötü amaçlı yazılım, Mac kullanıcılarını hedefliyor, iCloud anahtarlık ve web tarayıcılarında depolanan kimlik bilgilerini çalıyor, kripto para cüzdanları ve potansiyel olarak hassas dosyalar.
Macstealer, geliştiricinin 100 dolara önceden hazırlanmış binalar sattığı ve alıcıların kampanyalarında kötü amaçlı yazılımları yaymasına izin veren bir Hizmet Olarak Kötü Yazılım (MAAS) olarak dağıtılıyor.
Yeni MacOS kötü amaçlı yazılımını keşfeden UpttyCs Tehdit Araştırma Ekibine göre, MacOS Catalina (10.15) ve Apple'ın işletim sistemi Ventura'nın (13.2) en son sürümüne kadar çalışabilir.
Macstealer, UptyCs analistleri tarafından, geliştiricinin ayın başından beri tanıttığı karanlık bir web hack forumunda keşfedildi.
Satıcı, kötü amaçlı yazılımların hala erken bir beta geliştirme aşamasında olduğunu ve panel veya inşaatçı sunmuyor. Bunun yerine, MacOS Catalina, Big Sur, Monterey ve Ventura'ya enfekte edebilen önceden inşa edilmiş DMG yükleri satıyor.
Tehdit oyuncusu, kötü amaçlı yazılım için 100 $ 'lık düşük fiyatı haklı çıkarmak için bir inşaatçı ve panel eksikliğini kullanıyor, ancak yakında daha gelişmiş özelliklerin geleceğine söz veriyor.
Kötü amaçlı yazılım geliştiricisi, MacStealer'ın aşağıdaki verileri tehlikeye atılmış sistemlerden çalabileceğini iddia ediyor:
Anahtarlık veritabanı, macOS'ta kullanıcıların şifrelerini, özel anahtarlarını ve sertifikalarını tutan ve giriş şifreleriyle şifreleyen güvenli bir depolama sistemidir. Özellik daha sonra Web sayfalarında ve uygulamalarda giriş kimlik bilgilerini otomatik olarak girebilir.
Tehdit oyuncusu, MacStealer'ı kurbanın macos üzerinde yürütmeye kandırıldığı bir şey olarak poz veren imzasız bir DMG dosyası olarak dağıtıyor.
Bunu yaptıktan sonra, kötü amaçlı yazılımın tehlikeye atılan makineden şifre toplamasını sağlayan bir komut çalıştırması için kurbana sahte bir şifre istemini sunulur.
Kötü amaçlı yazılım daha sonra önceki bölümde belirtilen tüm verileri toplar, bunları bir zip dosyasında saklar ve çalınan verileri daha sonra tehdit aktörü tarafından toplanacak uzaktan komuta ve kontrol sunucularına gönderir.
Aynı zamanda, Macstealer önceden yapılandırılmış bir telgraf kanalına bazı temel bilgiler gönderir ve yeni veriler çalındığında operatörün hızlı bir şekilde bildirilmesine izin verir ve ZIP dosyasını indirir.
Çoğu MaaS işlemi Windows kullanıcılarını hedeflerken, macOS bu tür tehditlere karşı bağışık değildir, bu nedenle kullanıcıları uyanık kalmalı ve güvenilmez web sitelerinden dosya indirmekten kaçınmalıdır.
Geçen ay, güvenlik araştırmacısı Iamdeadlyz, 'The Sandbox' blockchain oyununun oyuncularını hedefleyen bir kimlik avı kampanyasında dağıtılan yeni bir MAC bilgi çalma kötü amaçlı yazılımı keşfetti.
Bu bilgi stealer ayrıca, Çıkış, Fantom, Atomik, Electrum ve Metamask dahil olmak üzere tarayıcılarda ve kripto para birimi cüzdanlarında kaydedilen kimlik bilgilerini de hedefledi.
Kripto para birimi cüzdanları tehdit aktörleri tarafından yüksek oranda hedeflendiğinde, muhtemelen kripto para birimi cüzdanları arayışında macOS hedefleyen daha fazla kötü amaçlı yazılım geliştiricisini göreceğiz.
Blackguard Stealer şimdi 57 kripto cüzdanı, uzantıları hedefliyor
Adobe Acrobat Sign, Redline Info-Renting kötü amaçlı yazılımları itmek için istismar edildi
Yorotrooper Cyberspies CIS Enerji Orgs, AB Elçilikleri Hedef
Rig Suploit Kiti hala Internet Explorer aracılığıyla kurumsal kullanıcıları enfekte ediyor
Purecrypter kötü amaçlı yazılım, fidye yazılımları ile govt orgs, info-starers ile vuruyor
Kaynak: Bleeping Computer