L’attuale iterazione di MacStealer deriva da un file chiamato”weed.dmg”
Un nuovo malware, soprannominato MacStealer, è stato trovato infettare i Mac Intel e Apple Silicon e sta rubando password, informazioni sulla carta di credito e altri dati personali.
Un trio di famiglie di malware basate su Windows è stato scoperto dai ricercatori di sicurezza Uptycs che sfruttano il servizio di messaggistica Telegram. Ora, il team ha trovato una versione specifica per gli utenti Mac.
Chiamato MacStealer, il malware ha il capacità di prendere documenti, cookie del browser e informazioni di accesso da un Mac di destinazione. Funziona anche specificamente su Mac che eseguono macOS Catalina o versioni successive, in esecuzione su chip Intel o Apple Silicon.
Come parte del furto, il software prende le credenziali e i cookie dai browser Firefox, Google Chrome e Brave ed estrae anche il database del portachiavi. Tenta inoltre di proteggere una varietà di tipi di file, inclusi MP3, file di testo, PDF, file PowerPoint, fotografie e database.
Sebbene l’estrazione del portachiavi possa sembrare un grande pericolo per gli utenti, l’attacco prevede l’acquisizione del portachiavi all’ingrosso, senza accedere ai dati al suo interno. Il database viene prelevato e trasmesso all’aggressore da Telegram, ma è ancora crittografato.
L’autore della minaccia che vende l’accesso a MacStealer per $ 100 per build afferma che è”quasi impossibile”accedere al portachiavi estratto senza la password principale. Come parte del tentativo di vendita, l’attore afferma di non”voler fare false promesse”per l’accesso a quei dati e di non averli inclusi in un elenco di funzionalità”imminenti”.
Altri elementi nell’elenco delle”Funzionalità in arrivo”includono il drenaggio di cryptowallet, uno strumento per generare nuove build, una shell inversa, un uploader personalizzato e un pannello di controllo.
Contemporaneamente all’acquisizione di file e dati, MacStealer utilizza Telegram per inviare informazioni selezionate a canali specifici. Una compilation ZIP separata viene quindi condivisa con un bot di Telegram controllato dall’hacker.
Come proteggersi da MacStealer
Non è chiaro esattamente come il malware si sposti tra i Mac, ma le infezioni iniziali sono state causate da un’app chiamata”weed.dmg.”Come ci si aspetterebbe, sembra un eseguibile con una foglia come icona.
Il tentativo di aprire il file genera una falsa richiesta di password macOS, che lo strumento utilizza quindi per accedere ad altri file sul sistema.
MacStealer falso richiesta password macOS [sinistra], una richiesta password macOS autentica [destra]
La richiesta password utilizzata dal software è nettamente diversa da quella fornita da macOS agli utenti, quindi dovrebbe essere ragionevolmente facile per un utente Mac esperto individuare qualcosa che non va. Un grande indizio è che non include un campo nome utente già popolato.
Uptycs consiglia agli utenti di mantenere aggiornati i propri sistemi Mac con patch e aggiornamenti. Inoltre, si consiglia di consentire solo l’installazione di file da fonti attendibili, come l’App Store.
