最近发现的信息窃取恶意软件,称为 MacStealer 恶意软件,一直以 Mac 用户为目标,对他们存储的 iCloud KeyChain 凭据、网络浏览器数据、加密货币钱包和潜在敏感文件构成重大风险。
这种危险的恶意软件已被 Uptycs 威胁研究团队识别出来,目前正在暗网上作为恶意软件即服务 (MaaS) 出售。 购买者可以花 100 美元获得预制版本,使他们能够轻松地在他们的活动中传播恶意软件。 由于您现在可以将 iCloud 钥匙串密码与 Google Chrome 同步,因此使用其他浏览器也无助于对抗 MacStealer 恶意软件。
MacStealer 兼容 macOS Catalina (10.15) 和所有后续版本,直至最新的 Apple 操作系统 Ventura (13.2)。 Uptycs 分析师首先发现了这种隐蔽的恶意软件 暗网黑客论坛,开发人员自本月初以来一直在推广它。
尽管处于早期 Beta 开发阶段,MacStealer 并未附带面板或构建器。 相反,开发人员出售能够感染 macOS Catalina、Big Sur、Monterey 和 Ventura 的预构建 DMG 有效载荷。
MacStealer 恶意软件威胁
恶意软件创建者证明 100美元的相对低价 通过引用缺少构建器和面板来针对 MacStealer 恶意软件。 但是,他们承诺很快会添加更多高级功能。 根据开发人员的说法,MacStealer 可以从受感染的系统中提取以下数据:
- 帐号密码、cookie 和来自 Firefox、Chrome 和 Brave 的信用卡信息
- 多种文件类型,包括 TXT、DOC、DOCX、PDF、XLS、XLSX、PPT、PPTX、JPG、PNG、CSV、BMP、MP3、ZIP、RAR、PY 和 DB 文件
- 钥匙串数据库 (login.keychain-db) 以 base64 编码形式
- 系统信息和 钥匙串密码详细信息
- Coinomi、Exodus、MetaMask、Phantom、Tron、Martian Wallet、Trust wallet、Keplr Wallet 和 Binance 加密货币钱包
Keychain 数据库是 macOS 中的安全存储系统,旨在保存用户的密码、私钥和证书,并使用登录密码对其进行加密。 此功能允许在网页和应用程序上自动输入登录凭据。
MacStealer 恶意软件如何运作?
MacStealer 作为一个未签名的 DMG 文件分发,伪装成一个无害的文件,受害者被诱骗在他们的 macOS 系统上执行。 一旦执行,就会向受害者显示一个伪造的密码提示,当输入时,恶意软件可以从受感染的机器上收集密码。
随后,恶意软件收集上述所有数据,将其存储在一个 ZIP 文件中,并将窃取的信息发送到远程命令和控制服务器,供威胁者稍后检索。
同时,MacStealer 恶意软件发送 预配置电报频道的基本信息,允许操作员在新数据被盗时收到快速通知并下载 ZIP 文件。 尽管大多数 MaaS 操作都是针对 Windows 用户的,但 macOS 也不能幸免于此类威胁。 Mac 用户应保持警惕,避免从不可信的网站下载文件,以保护自己免受这种新出现的威胁。
Mac 恶意软件的使用率上升
上个月,安全研究员 我死了 发现了另一种 Mac 信息窃取恶意软件,该恶意软件分布在针对“The Sandbox”区块链游戏玩家的网络钓鱼活动中。 与 MacStealer 类似,此信息窃取程序还针对保存在浏览器和加密货币钱包中的凭据,包括 Exodus、Phantom、Atomic、Electrum 和 MetaMask。
随着加密货币价值的增加和 Mac 系统的日益普及,预计会有更多 恶意软件开发者将针对 macOS 用户试图窃取有价值的加密货币钱包。
因此,Mac 用户必须保持谨慎,定期更新他们的系统,并使用强大的安全措施来保护他们的设备和敏感信息免受 MacStealer 恶意软件背后的恶意行为者的侵害。
总之,MacStealer 恶意软件的出现凸显了 Mac 用户日益增长的威胁形势。 网络犯罪分子越来越多地将 macOS 设备作为目标,以寻找有价值的数据和加密货币钱包。 随着 MacStealer 恶意软件的不断发展并可能获得更多高级功能,它对于 Mac 用户保持警惕并优先考虑他们的数字安全.
