Новая вредоносная программа для кражи информации под названием Mac Stealer нацелена на пользователей Mac, похищая их учетные данные, хранящиеся в связке ключей iCloud и веб-браузерах, криптовалютных кошельках и потенциально конфиденциальных файлах. Mac Stealer распространяется как malware-as-a-service (MaaS), где разработчик продает готовые сборки за 100 долларов, позволяя покупателям распространять вредоносное ПО в своих кампаниях. По данным исследовательской группы Uptycs threat research, которая обнаружила новую вредоносную программу для Mac OS, она может работать на macOS Catalina (10.15) и вплоть до последней версии операционной системы Apple Ventura (13.2). Ориентирован на пользователей Mac Mac Stealer был обнаружен аналитиками Uptycs на хакерском форуме в dark web, где разработчик продвигал его с начала месяца. Продавец утверждает, что вредоносная программа все еще находится на ранней стадии бета-разработки и не предлагает никаких панелей или конструкторов. Вместо этого он продает готовые полезные программы DMG, которые могут заражать mac OS Catalina, Big Sur, Monterey и Ventura. Исполнитель угрозы использует отсутствие конструктора и панели, чтобы оправдать низкую цену вредоносного ПО в 100 долларов, но обещает, что скоро появятся более продвинутые функции. Разработчик вредоносного ПО утверждает, что Mac Stealer может украсть следующие данные из скомпрометированных систем: Пароли к аккаунтам, cookies, и данные кредитных карт из Firefox, Chrome и Brave. TXT, DOC, DOCX, PDF, XLS, XLSX, PPT, PPTX, JPG, PNG, CSV, BMP, MP3, ZIP, RAR, PY, and DB files Extract the Keychain database (login.keychain-db) in base64 encoded form Собрать информацию о системе Собрать информацию о Keychain password Coinomi, Exodus, MetaMask, Phantom, Tron, Martian Wallet, Trust wallet, Keplr Wallet, and Binance cryptocurrency wallets База данных Keychain - это защищенная система хранения в macOS, которая хранит пароли пользователей, закрытые ключи и сертификаты, шифруя их с помощью пароля для входа. Затем она может использоваться, чтобы автоматически вводить учетные данные для входа на веб-страницах и в приложениях. Функциональность вредоносного ПО Участники угрозы распространяют Mac Stealer в виде неподписанного DMG-файла, который выдает себя за нечто, что жертва обманом запускает на своем macOS. При этом жертве выдается запрос на ввод поддельного пароля для выполнения команды, которая позволяет вредоносной программе собирать пароли со скомпрометированного компьютера. Схема атаки Затем вредоносная программа собирает все данные, упомянутые в предыдущем разделе, сохраняет их в ZIP-файле и отправляет украденные данные на удаленные серверы командования и контроля, которые позже будут собраны субъектом угрозы. В то же время Mcstealer отправляет некоторую базовую информацию в предварительно настроенный Telegram-канал, позволяя оператору быстро получать уведомления о краже новых данных и загружать ZIP-файл. В то время как большинство массовых операций нацелено на пользователей Windows, mac OS не застрахована от подобных угроз, поэтому ее пользователям следует сохранять бдительность и избегать загрузки файлов с ненадежных веб-сайтов. В прошлом месяце исследователь безопасности iamdeadlyz также обнаружил новую вредоносную программу для кражи информации для Mac, распространяемую в рамках фишинговой кампании, нацеленной на игроков блокчейн-игры "Песочница". Этот похититель информации также нацеливался на учетные данные, сохраненные в браузерах и криптовалютных кошельках, включая Exodus, Phantom, Atomic, Electrum и MetaMask. Поскольку криптовалютные кошельки становятся мишенью для злоумышленников, мы, вероятно, увидим, что новые разработчики вредоносных программ нацеливаются на macOS в поисках криптовалютных кошельков для кражи. 27.03.2023 https://www.bleepingcomputer.com/ne...alware-steals-passwords-from-icloud-keychain/
Атака MacStealer, позволяющая перехватывать трафик в Wi-Fi Мэти Ванхоф (Mathy Vanhoef), автор атаки KRACK на беспроводные сети и 12 уязвимостей в стандартах IEEE 802.11, раскрыл сведения о новой уязвимости (CVE-2022-47522) в технологии буферизации пакетов Wi-Fi, затрагивающей различные устройства (Cisco, Ubiquiti) и операционные системы (Linux, FreeBSD, iOS, Android). Дополнительно открыт доступ к инструментарию MacStealer для совершения атаки. Уязвимость позволяет обойти шифрование в беспроводной сети и может быть использована для перехвата трафика изолированных клиентов. Уязвимость затрагивает механизм формирования очередей для буферизации кадров перед отправкой получателям, а также недоработки в управлении контекстом защиты для помещённых в очередь кадров. В качестве причины появления уязвимости называется отсутствие в стандарте 802.11 явных предписаний по управлению контекстом защиты для буферизированных кадров и отсутствие защиты для флага power-save в заголовке кадра, при помощи которого атакующий может манипулировать помещением кадров в очередь. Через манипуляцию кадрами для получателей, находящихся в спящем режиме (выставление флага power-save в заголовке), атакующий может добиться их буферизации и изменения контекста защиты, что приведёт к отправке кадров из очереди без применения шифрования или с шифрованием нулевым ключом. Отдельно предложена техника перенаправления находящихся в очереди кадров из точки доступа на подконтрольное атакующему устройство. Возможность перенаправления кадров из очереди вызвана тем, что в беспроводном стеке аутентификация клиента и маршрутизация пакетов отделены друг от друга (при маршрутизации используются только MAC-адреса). Для перенаправления кадров на устройство атакующего используется трюк, связанный с периодическим отключением жертвы после отправки им запроса, и подключением устройства атакующего с MAC-адресом жертвы (пакеты, которые были адресованы жертве и застряли в очереди будут отправлены на устройство атакующего). Атака может быть применена для перехвата трафика других пользователей в обход изоляции клиентов на уровне MAC, даже если клиентам запрещено взаимодействовать друг с другом. Для успешного совершения атаки злоумышленник должен иметь доступ к сети Wi-Fi, что на практике ограничивает уязвимость использованием для обхода изоляции клиентов на точке доступа (режим "AP isolation") или обхода режима динамического инспектирования ARP (DAI, Dynamic ARP Inspection). Например, уязвимость может применяться для атаки на пользователей корпоративных сетей, в которых пользователи отделены друг от друга или в которых используются протоколы WPA2 и WPA3 в режиме изоляции клиентов (выставляются отдельные SSID для гостевых систем или задаются разные пароли (Multi-PSK)), а также для атаки на публичные точки доступа, защищённые при помощи технологии Passpoint (Hotspot 2.0) или использующие WPA3 SAE-PK. При этом атака не может применяться для устройств, разделённых при помощи VLAN (не получится атаковать устройство в другом VLAN). 28.03.2023 https://www.opennet.ru/opennews/art.shtml?num=58881