Novo malware para macOS, o MacStealer, rouba senhas armazenadas no iCloud Keychain
28 de Março de 2023

Um novo malware de roubo de informações chamado MacStealer está atacando usuários de Mac, roubando suas credenciais armazenadas no iCloud KeyChain e navegadores da web, carteiras de criptomoedas e possivelmente arquivos sensíveis.

O MacStealer está sendo distribuído como um malware como serviço (MaaS), onde o desenvolvedor vende construções pré-fabricadas por US$ 100, permitindo que os compradores espalhem o malware em suas campanhas.

De acordo com a equipe de pesquisa de ameaças da Uptycs que descobriu o novo malware do macOS, ele pode ser executado no macOS Catalina (10.15) e até a versão mais recente do sistema operacional da Apple, Ventura (13.2).

O MacStealer foi descoberto por analistas da Uptycs em um fórum de hackers da dark web, onde o desenvolvedor tem promovido desde o início do mês.

O vendedor afirma que o malware ainda está em uma fase inicial de desenvolvimento beta e não oferece painéis ou construtores.

Em vez disso, vende payloads DMG pré-construídos que podem infectar macOS Catalina, Big Sur, Monterey e Ventura.

O ator de ameaças usa a falta de um construtor e painel para justificar o baixo preço de US$ 100 pelo malware, mas promete que recursos mais avançados chegarão em breve.

O desenvolvedor do malware afirma que o MacStealer pode roubar os seguintes dados dos sistemas comprometidos:
O banco de dados Keychain é um sistema de armazenamento seguro no macOS que armazena senhas, chaves privadas e certificados dos usuários, criptografando-o com sua senha de login.

A função pode então inserir automaticamente credenciais de login em páginas da web e aplicativos.

Os atores de ameaças distribuem o MacStealer como um arquivo DMG não assinado que se faz passar por algo que a vítima é enganada a executar em seu macOS.

Ao fazer isso, um prompt de senha falso é servido à vítima para executar um comando que permite ao malware coletar senhas da máquina comprometida.

O malware então coleta todos os dados mencionados na seção anterior, armazena-os em um arquivo ZIP e envia os dados roubados para servidores de comando e controle remotos para serem coletados posteriormente pelo ator de ameaças.

Ao mesmo tempo, o MacStealer envia algumas informações básicas para um canal do Telegram pré-configurado, permitindo que o operador seja rapidamente notificado quando novos dados forem roubados e faça o download do arquivo ZIP.

Embora a maioria das operações MaaS atinja usuários do Windows, o macOS não está imune a essas ameaças, portanto, seus usuários devem permanecer vigilantes e evitar o download de arquivos de sites não confiáveis.

No mês passado, o pesquisador de segurança iamdeadlyz também descobriu um novo malware de roubo de informações do Mac distribuído em uma campanha de phishing visando jogadores do jogo de blockchain "The Sandbox".

Esse ladrão de informações também visava credenciais salvas em navegadores e carteiras de criptomoedas, incluindo Exodus, Phantom, Atomic, Electrum e MetaMask.

Com as carteiras de criptomoedas sendo altamente visadas pelos atores de ameaças, é provável que vejamos mais desenvolvedores de malware visando o macOS em sua busca por carteiras de criptomoedas para roubar.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...