Um novo malware ladrão de informações chamado MetaStealer tem mirado o macOS da Apple, tornando-se o mais recente em uma crescente lista de famílias de ladrões focadas no sistema operacional, após o Stealer, Pureland, Atomic Stealer e Realst.
"Os atores de ameaças estão proativamente visando empresas que usam o macOS, se passando por clientes falsos, a fim de engenheirar socialmente as vítimas e fazê-las lançar payloads maliciosos", disse o pesquisador de segurança da SentinelOne, Phil Stokes, em uma análise de segunda-feira.
Nesses ataques, o MetaStealer é distribuído na forma de pacotes de aplicativos falsos no formato de imagem de disco (DMG), com alvos abordados através de atores de ameaças se passando por possíveis clientes de design, a fim de compartilhar um arquivo ZIP protegido por senha que contém o arquivo DMG.
Outras instâncias envolveram o malware se disfarçando como arquivos da Adobe ou instaladores do Adobe Photoshop.
As evidências coletadas até agora mostram que os artefatos do MetaStealer começaram a aparecer em março de 2023.
A amostra mais recente foi carregada no VirusTotal em 27 de agosto de 2023.
"Esse direcionamento específico dos usuários empresariais é um tanto incomum para malware do macOS, que é mais comumente encontrado sendo distribuído via sites de torrent ou distribuidores de software terceirizados suspeitos como versões crackeadas de software de negócios, produtividade ou outros populares", disse Stokes.
O principal componente do payload é um executável baseado em Go ofuscado que vem com recursos para coletar dados do iCloud Keychain, senhas salvas e arquivos do host comprometido.
Versões selecionadas do malware foram observadas contendo funções que provavelmente visam serviços de Telegram e Meta.
A SentinelOne disse que observou algumas variantes do MetaStealer se passando por TradingView, a mesma tática que foi adotada pelo Atomic Stealer nas últimas semanas.
Isso levanta duas possibilidades: Ou os mesmos autores de malware podem estar por trás de ambas as famílias de ladrões e foram adotados por diferentes atores de ameaças devido a diferenças no mecanismo de entrega, ou são obra de diferentes conjuntos de atores.
"A aparição de mais um infostealer do macOS este ano mostra que a tendência de mirar os usuários do Mac para seus dados continua a crescer em popularidade entre os atores de ameaças", disse Stokes.
"O que torna o MetaStealer notável entre essa safra recente de malware é o direcionamento claro dos usuários empresariais e o objetivo de exfiltrar informações valiosas da chave e outras informações desses alvos.
Esses dados de alto valor podem ser usados para prosseguir com atividades criminosas cibernéticas ou obter uma posição em uma rede empresarial maior."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...