Новая вредоносная программа для кражи информации под названием MetaStealer нацелилась на Apple macOS, став последней в растущем списке семейств программ-похитителей, ориентированных на операционную систему после MacStealer, Pureland, Atomic Stealer и Realst.
"Злоумышленники активно нацеливаются на предприятия macOS, выдавая себя за поддельных клиентов, чтобы социально настроить жертв на запуск вредоносных полезных нагрузок", - сказал исследователь безопасности SentinelOne Фил Стоукс в анализе, опубликованном в понедельник.
В этих атаках MetaStealer распространяется в виде пакетов вредоносных приложений в формате образа диска (DMG), к которым обращаются злоумышленники, выдающие себя за потенциальных клиентов разработки, чтобы предоставить общий доступ к защищенному паролем ZIP-архиву, содержащему файл DMG.
В других случаях вредоносная программа маскировалась под файлы Adobe или установщики Adobe Photoshop. Собранные к настоящему времени доказательства показывают, что артефакты MetaStealer начали появляться в дикой природе в марте 2023 года. Самый последний образец был загружен на VirusTotal 27 августа 2023 года.
"Такое специфическое нацеливание на бизнес-пользователей несколько необычно для вредоносного ПО macOS, которое чаще распространяется через торрент-сайты или подозрительных сторонних распространителей программного обеспечения в виде взломанных версий для бизнеса, производительности или другого популярного программного обеспечения", - сказал Стоукс.
Основным компонентом полезной нагрузки является запутанный исполняемый файл на базе Go, который поставляется с функциями сбора данных из цепочки iCloud Keychain, сохраненных паролей и файлов со скомпрометированного хоста. Все наблюдаемые на данный момент образцы предназначены для компьютеров macOS на базе Intel.
Были обнаружены отдельные версии вредоносного ПО, содержащие функции, которые, вероятно, нацелены на сервисы Telegram и Meta.
SentinelOne заявила, что обнаружила несколько вариантов MetaStealer, имитирующих TradingView, ту же тактику, которая была принята Atomic Stealer в последние недели.
Это порождает две возможности: либо за обоими семействами stealer могут стоять одни и те же авторы вредоносного ПО и они были приняты разными участниками угрозы из-за различий в механизме доставки, либо они являются делом рук разных групп участников.
"Появление в этом году еще одного инфостилера macOS показывает, что тенденция к нацеливанию пользователей Mac на их данные продолжает набирать популярность среди участников угроз", - сказал Стоукс.
"Что выделяет MetaStealer среди этой серии недавних вредоносных программ, так это четкая нацеленность на бизнес-пользователей и цель извлечения ценной цепочки ключей и другой информации у этих целей. Такие ценные данные могут быть использованы для продолжения киберпреступной деятельности или закрепления в более крупной бизнес-сети".
