Новый стилер Mac Stealer для macOS крадет пароли из iCloud Keychain

Новая вредоносная программа для кражи информации под названием Mac Stealer нацелена на пользователей Mac, похищая их учетные данные, хранящиеся в связке ключей iCloud и веб-браузерах, криптовалютных кошельках и потенциально конфиденциальных файлах.

Mac Stealer распространяется как malware-as-a-service (MaaS), где разработчик продает готовые сборки за 100 долларов, позволяя покупателям распространять вредоносное ПО в своих кампаниях.

По данным исследовательской группы Uptycs threat research, которая обнаружила новую вредоносную программу для Mac OS, она может работать на macOS Catalina (10.15) и вплоть до последней версии операционной системы Apple Ventura (13.2).

Ориентирован на пользователей Mac

Mac Stealer был обнаружен аналитиками Uptycs на хакерском форуме в dark web, где разработчик продвигал его с начала месяца.

Продавец утверждает, что вредоносная программа все еще находится на ранней стадии бета-разработки и не предлагает никаких панелей или конструкторов. Вместо этого он продает готовые полезные программы DMG, которые могут заражать mac OS Catalina, Big Sur, Monterey и Ventura.

Исполнитель угрозы использует отсутствие конструктора и панели, чтобы оправдать низкую цену вредоносного ПО в 100 долларов, но обещает, что скоро появятся более продвинутые функции.


Разработчик вредоносного ПО утверждает, что Mac Stealer может украсть следующие данные из скомпрометированных систем:

• Пароли к аккаунтам, cookies, и данные кредитных карт из Firefox, Chrome и Brave.
• TXT, DOC, DOCX, PDF, XLS, XLSX, PPT, PPTX, JPG, PNG, CSV, BMP, MP3, ZIP, RAR, PY, and DB files
• Extract the Keychain database (login.keychain-db) in base64 encoded form
• Собрать информацию о системе
  
• Собрать информацию о Keychain password
  
• Coinomi, Exodus, MetaMask, Phantom, Tron, Martian Wallet, Trust wallet, Keplr Wallet, and Binance cryptocurrency wallets

База данных Keychain - это защищенная система хранения в macOS, которая хранит пароли пользователей, закрытые ключи и сертификаты, шифруя их с помощью пароля для входа. Затем она может использоваться, чтобы автоматически вводить учетные данные для входа на веб-страницах и в приложениях.

Функциональность вредоносного ПО

Участники угрозы распространяют Mac Stealer в виде неподписанного DMG-файла, который выдает себя за нечто, что жертва обманом запускает на своем macOS.

При этом жертве выдается запрос на ввод поддельного пароля для выполнения команды, которая позволяет вредоносной программе собирать пароли со скомпрометированного компьютера.

Схема атаки

Затем вредоносная программа собирает все данные, упомянутые в предыдущем разделе, сохраняет их в ZIP-файле и отправляет украденные данные на удаленные серверы командования и контроля, которые позже будут собраны субъектом угрозы.

В то же время Mcstealer отправляет некоторую базовую информацию в предварительно настроенный Telegram-канал, позволяя оператору быстро получать уведомления о краже новых данных и загружать ZIP-файл.


В то время как большинство массовых операций нацелено на пользователей Windows, mac OS не застрахована от подобных угроз, поэтому ее пользователям следует сохранять бдительность и избегать загрузки файлов с ненадежных веб-сайтов.

В прошлом месяце исследователь безопасности iamdeadlyz также обнаружил новую вредоносную программу для кражи информации для Mac, распространяемую в рамках фишинговой кампании, нацеленной на игроков блокчейн-игры "Песочница".

Этот похититель информации также нацеливался на учетные данные, сохраненные в браузерах и криптовалютных кошельках, включая Exodus, Phantom, Atomic, Electrum и MetaMask.

Поскольку криптовалютные кошельки становятся мишенью для злоумышленников, мы, вероятно, увидим, что новые разработчики вредоносных программ нацеливаются на macOS в поисках криптовалютных кошельков для кражи.

27.03.2023
https://www.bleepingcomputer.com/ne...alware-steals-passwords-from-icloud-keychain/​