Lelaran MacStealer semasa berpunca daripada fail yang dipanggil”weed.dmg”
Sebuah perisian hasad baharu, yang digelar MacStealer, telah ditemui menjangkiti Intel dan Apple Silicon Macs dan sedang mencuri kata laluan, maklumat kad kredit , dan data peribadi lain.
Tiga keluarga perisian hasad berasaskan Windows telah ditemui oleh penyelidik keselamatan Uptycs yang mengambil kesempatan daripada perkhidmatan pemesejan Telegram. Kini, pasukan itu telah menemui versi khusus untuk pengguna Mac.
Dirujuk sebagai MacStealer, perisian hasad mempunyai keupayaan untuk mengambil dokumen, kuki penyemak imbas dan maklumat log masuk daripada Mac sasaran. Ia juga berfungsi secara khusus pada Mac yang menjalankan macOS Catalina atau lebih baharu, berjalan pada cip Intel atau Apple Silicon.
Sebagai sebahagian daripada kecurian, perisian tersebut mengambil bukti kelayakan dan kuki daripada pelayar Firefox, Google Chrome dan Brave, dan juga mengekstrak pangkalan data Keychain. Ia juga cuba untuk mendapatkan pelbagai jenis fail, termasuk MP3, fail teks, PDF, fail PowerPoint, gambar dan pangkalan data.
Walaupun menarik Keychain mungkin kelihatan seperti bahaya besar kepada pengguna, serangan itu melibatkan pengambilan Keychain secara borong, tanpa mengakses data di dalamnya. Pangkalan data memang diambil dan dihantar kepada penyerang oleh Telegram, tetapi ia masih disulitkan.
Pelakon ancaman yang menjual akses kepada MacStealer dengan harga $100 setiap binaan mengatakan bahawa Rantai Kunci yang diekstrak adalah”hampir mustahil”untuk diakses tanpa kata laluan induk. Sebagai sebahagian daripada percubaan jualan, pelakon itu berkata mereka tidak”mahu membuat janji palsu”untuk akses kepada data itu dan tidak memasukkannya ke dalam senarai ciri”akan datang”.
Item lain dalam senarai”Ciri akan datang”termasuk penyaringan dompet kripto, alat untuk menjana binaan baharu, cangkerang terbalik, pemuat naik tersuai dan panel kawalan.
Pada masa yang sama mengambil fail dan data, MacStealer kemudian menggunakan Telegram untuk menghantar maklumat terpilih ke saluran tertentu. Kompilasi ZIP yang berasingan kemudiannya dikongsi ke bot Telegram yang dikawal oleh penggodam.
Cara melindungi diri anda daripada MacStealer
Tidak jelas dengan tepat cara perisian hasad bergerak antara Mac, tetapi jangkitan awal telah disebabkan oleh aplikasi yang dipanggil”rumpai.dmg.”Seperti yang anda jangkakan, ia kelihatan seperti boleh laku dengan daun sebagai ikon.
Percubaan untuk membuka fail menimbulkan gesaan kata laluan macOS palsu, yang kemudiannya digunakan oleh alat itu untuk mengakses fail lain pada sistem.
MacStealer’s fake gesaan kata laluan macOS [kiri], gesaan kata laluan macOS tulen [kanan]
Gesaan kata laluan yang digunakan oleh perisian adalah berbeza daripada apa yang disediakan oleh macOS kepada pengguna, jadi ia sepatutnya mudah bagi pengguna Mac yang berpengalaman untuk mengesan sesuatu yang salah. Petunjuk besar ialah ia tidak termasuk medan nama pengguna yang sudah diisi.
Uptycs mengesyorkan agar pengguna memastikan sistem Mac mereka dikemas kini dengan tampung dan kemas kini. Juga, dicadangkan untuk hanya membenarkan pemasangan fail daripada sumber yang dipercayai, seperti App Store.
