Intel tabanlı MacOS bilgisayarlarından çok çeşitli hassas bilgileri çalan Vahşi'de 'Metastealer' adlı yeni bir bilgi çalma kötü amaçlı yazılımı ortaya çıktı.
Geçen yıl bir miktar popülerlik gören 'Meta' Info-Stealer ile karıştırılmaması gereken Metastealer, Apple'ın yerleşik antivirüs teknolojisi XProtect'ten kaçınabilen, işletme kullanıcılarını hedefleyen GO tabanlı bir kötü amaçlı yazılımdır.
Sentinelone, son birkaç aydır kötü amaçlı yazılımları izlediğini ve sosyal mühendisliğin dağıtımına alışılmadık bir katılımını gördüğünü bildirdi.
Kötü amaçlı yazılım, Info-Starer'ı hedefleyen başka bir Go tabanlı macOS olan Atomic Stealer ile bazı benzerliklere sahip olsa da, kod örtüşmesi sınırlıdır ve dağıtım yöntemleri farklıdır.
Bu nedenle, Sentinelone Metastealer'ın ayrı bir operasyon olduğu sonucuna varır.
Sentinelone, Metastealer tehdit aktörlerinin işletmelerle iletişim kurduğunu ve şirketin müşterilerini kötü amaçlı yazılımları dağıtmak için taklit ettiğini belirten bir yorumla Virustotal'da bir kötü amaçlı yazılım örneği buldu.
"Tasarım istemcisi olarak poz veren biri tarafından hedeflendim ve olağan dışında hiçbir şey olduğunu fark etmedim. Geçen hafta işte müzakere ettiğim adam bana bu DMG dosyasını içeren bir şifre korumalı fermuar dosyası gönderdi, Biraz tuhaf olduğunu düşündüm, "diye okuyor Virustotal yorum.
"Daha iyi muhakememe karşı, içeriğini görmek için görüntüyü bilgisayarıma monte ettim. Açmadığım ve onun bir dolandırıcı olduğunu fark ettiğim zaman bir PDF olarak gizlenmiş bir uygulama içeriyordu."
Kimlik avı e -postalarına, dosya sistemine monte edildiğinde, kurbanı açmak için kandırmak için PDF dosyaları olarak görünen aldatıcı olarak adlandırılan yürütülebilir ürünler içeren disk görüntü dosyaları bulunur.
SentinelOne, Adobe yazılımı veya müşteri çalışmasından sonra adlandırılan DMG'leri aşağıdakiler dahil gözlemledi:
Kötü amaçlı yazılımların uygulama demetleri, bir info.plist dosyası, simge resmine sahip bir kaynak klasörü ve kötü amaçlı mach-o yürütülebilir bir macOS klasörü gibi çıplak temelleri içerir.
Bir Apple geliştirici kimliği içeren bazı sürümlere rağmen SentinelOne tarafından incelenen örneklerin hiçbiri imzalanmadı.
Metastealer, parolalar, dosyalar ve uygulama verileri de dahil olmak üzere tehlikeye atılan sistemlerde depolanan bilgileri çalmaya çalışır ve ardından bunları TCP üzerinden 3000 bağlantı noktası üzerinden dışarı atmaya çalışır.
Özellikle, kötü amaçlı yazılım özellikleri işlevleri, anahtar zincirini püskürtme ve kaydedilmiş parolaların çıkarılmasına, sistemden dosyaların çalınmasına ve telgraf ve meta (Facebook) hizmetlerini hedeflemeye izin verir.
Anahtarlık, macOS için sistem düzeyinde bir şifre yönetim sistemidir, web siteleri, uygulamalar, WiFi ağları, sertifikalar, şifreleme anahtarları, kredi kartı bilgileri ve hatta özel notlar için kimlik bilgilerini yönetir.
Bu nedenle, anahtarlık içeriğinin eksfiltrasyonu, saldırganlara hassas verilere erişim sağlayabilecek güçlü bir özelliktir.
Mevcut sürümünde, Metastealer yalnızca Intel X86_64 mimarisinde çalışır, bu da kurban kötü amaçlı yazılımları çalıştırmak için Rosetta'yı kullanmadığı sürece Apple Silikon İşlemciler üzerinde (M1, M2) çalışan macOS sistemlerini tehlikeye atamayacağı anlamına gelir.
Bu, tehdidi azaltır ve Intel tabanlı Apple bilgisayarlar aşamalı olarak kaldırıldığından, sürekli indirgeyici sayıda potansiyel kurbanla sınırlar.
Bununla birlikte, Metastealer Apple Silikon için yerel destek ekleyen yeni bir sürüm yayınlayabilir, bu yüzden dikkat etmek bir tehdittir.
Yeni Realst MacOS Kötü Yazılım Kripto para birimi cüzdanlarınızı çalıyor
Raccoon Stealer Malware yeni daha gizli sürümle döner
Info-Renting kötü amaçlı yazılım tarafından çalınan 400.000'den fazla kurumsal kimlik bilgisi
Facebook Messenger Kimlik Avı Dalgası Haftada 100 bin İşletme Hesapları
Chaes kötü amaçlı yazılım artık verileri çalmak için Google Chrome Devtools protokolünü kullanıyor
Kaynak: Bleeping Computer