Nykyinen MacStealer iteraatio on peräisin tiedostosta nimeltä”weed.dmg”
Uusi haittaohjelma, nimeltään MacStealer, on löydetty saastuttavan Intel-ja Apple Silicon Mac-tietokoneita, ja se varastaa salasanoja ja luottokorttitietoja. ja muita henkilötietoja.
Tietoturvatutkijat Uptycs ovat löytäneet Windows-pohjaisten haittaohjelmaperheiden kolmion jotka hyödyntävät viestintäpalvelua Telegram. Nyt tiimi on löytänyt Mac-käyttäjille tarkoitetun version.
Haittaohjelmalla, jota kutsutaan nimellä MacStealer, on kyky ottaa asiakirjoja, selaimen evästeitä ja kirjautumistietoja kohde-Macista. Se toimii myös erityisesti Mac-tietokoneissa, joissa on macOS Catalina tai uudempi Intel-tai Apple Silicon-siruilla.
Osana varkautta ohjelmisto ottaa kirjautumistiedot ja evästeet Firefox-, Google Chrome-ja Brave-selaimista sekä purkaa avainnipun tietokannan. Se yrittää myös suojata useita tiedostotyyppejä, mukaan lukien MP3-tiedostot, tekstitiedostot, PDF-tiedostot, PowerPoint-tiedostot, valokuvat ja tietokannat.
Vaikka avainnipun vetäminen voi tuntua suurelta vaaralta käyttäjille, hyökkäys sisältää Avainnipun tukkumyyntiä ilman, että sen sisältämiin tietoihin päästään käsiksi. Telegram ottaa tietokannan ja lähettää sen hyökkääjälle, mutta se on silti salattu.
Uhkatoimija, joka myy MacStealeriin pääsyä 100 dollarilla koontiversiota kohti, sanoo, että purettua avainnippua on”melkein mahdotonta”käyttää ilman pääsalasanaa. Osana myyntiyritystä näyttelijä sanoo, että he eivät”halua tehdä vääriä lupauksia”pääsystä näihin tietoihin, eivätkä ole sisällyttäneet sitä”tulevien”ominaisuuksien luetteloon.
Muita”Tulevat ominaisuudet”-luettelon kohteita ovat salauslokeroiden tyhjennys, työkalu uusien koontiversioiden luomiseen, käänteinen kuori, mukautettu latausohjelma ja ohjauspaneeli.
Samaan aikaan kun MacStealer nappaa tiedostot ja tiedot, se lähettää sitten Telegramin avulla tiettyjä tietoja tietyille kanaville. Erillinen ZIP-kokoelma jaetaan sitten Telegram-botille, jota hakkeri hallitsee.
Kuinka suojautua MacStealeriltä
On epäselvää, miten haittaohjelma liikkuu Macien välillä, mutta ensimmäiset tartunnat ovat aiheuttaneet”weed”-niminen sovellus..dmg.”Kuten arvata saattaa, se näyttää suoritettavalta tiedostolta, jonka kuvakkeena on lehti.
Tiedoston avaamisyritys saa aikaan väärennetyn macOS-salasanakehotteen, jonka avulla työkalu sitten käyttää muita järjestelmän tiedostoja.
MacStealerin väärennös macOS-salasanakehote [vasemmalla], aito macOS-salasanakehote [oikealla]
Ohjelmiston käyttämä salasanakehote eroaa selvästi siitä, mitä macOS tarjoaa käyttäjille, joten kokeneen Mac-käyttäjän pitäisi olla kohtuullisen helppoa huomaa jotain vikaa. Suuri vihje on, että se ei sisällä jo täytettyä käyttäjätunnuskenttää.
Uptycs suosittelee, että käyttäjät pitävät Mac-järjestelmänsä ajan tasalla korjaustiedostojen ja päivitysten avulla. Lisäksi suositellaan sallimaan vain luotettavista lähteistä, kuten App Storesta, olevien tiedostojen asentaminen.
