Yeni MacStealer macOS Kötü Amaçlı Yazılımı, iCloud Anahtar Zinciri Verilerini ve Parolalarını Çalıyor.

Bilgi çalan yeni bir kötü amaçlı yazılım, güvenliği ihlal edilmiş cihazlardan hassas bilgileri sifonlamak için gözünü Apple'ın macOS işletim sistemine dikti.

MacStealer olarak adlandırılan bu, verileri sızdırmak için bir komut ve kontrol (C2) platformu olarak Telegram'ı kullanan bir tehdidin en son örneğidir. Öncelikle, Catalina'nın macOS sürümlerini çalıştıran ve daha sonra M1 ve M2 CPU'larda çalışan cihazları etkiler.

Uptycs araştırmacıları Shilpesh Trivedi ve Pratik Jeware yeni bir raporda, "MacStealer, kurbanın tarayıcısından belgeleri, çerezleri ve oturum açma bilgilerini çalma yeteneğine sahiptir." Dedi.

İlk olarak ayın başında çevrimiçi bilgisayar korsanlığı forumlarında 100 ABD doları karşılığında reklamı yapılan bu uygulama, kötü amaçlı yazılım yazarlarının Apple'ın Safari tarayıcısından ve Notes uygulamasından veri yakalamak için özellikler eklemeyi planlamasıyla birlikte hala devam eden bir çalışmadır.

Mevcut haliyle MacStealer, Google Chrome, Mozilla Firefox ve Brave gibi tarayıcılardan iCloud Anahtar Zinciri verilerini, şifreleri ve kredi kartı bilgilerini çıkarmak için tasarlanmıştır. Ayrıca Microsoft Office dosyalarını, görüntüleri, arşivleri ve Python betiklerini toplama desteğine de sahiptir.

Kötü amaçlı yazılımı dağıtmak için kullanılan kesin yöntem bilinmemekle birlikte, yürütüldüğünde Sistem Ayarları uygulamasına erişim arama kisvesi altında parolaları toplamak için sahte bir parola istemi açan bir DMG dosyası ( weed.dmg ) olarak yayılır. 

MacStealer, son birkaç ay içinde ortaya çıkan birkaç bilgi hırsızından biridir ve şu anda vahşi olan çok sayıda benzer araca eklenir.

Bu ayrıca, StormKitty'den ilham alan ve keylogging ve clipper yetenekleriyle birlikte gelen ve çalınan verileri bir Telegram robotuna ileten HookSpoofer adlı başka bir yeni C# tabanlı kötü amaçlı yazılım parçasını da içeriyor .

Tarayıcıda çerez çalan bir başka kötü amaçlı yazılım da , verileri sızdırmak için bir Telegram botu kullanan ve tespitten kaçınmak için geliştirilmiş taktiklerle 2023 Şubatının ortasında yeniden ortaya çıkan Ducktail'dir .

Deep Instinct araştırmacısı Simon Kenin bu ayın başlarında, " Bu, kötü amaçlı yürütülebilir dosya içeren bir arşivden ilk bulaşmayı, bulaşma zincirini başlatacak kötü amaçlı bir LNK dosyası içeren bir arşive dönüştürmeyi" içeriyor.

Stealer kötü amaçlı yazılımı genellikle e-posta ekleri, sahte yazılım indirmeleri ve diğer sosyal mühendislik teknikleri dahil olmak üzere farklı kanallar aracılığıyla yayılır.

Bu tür tehditleri azaltmak için, kullanıcıların işletim sistemlerini ve güvenlik yazılımlarını güncel tutmaları ve bilinmeyen kaynaklardan dosya indirmekten veya bağlantılara tıklamaktan kaçınmaları önerilir.

SentinelOne araştırmacısı Phil Stokes geçen hafta "Mac'ler, liderlik ve geliştirme ekipleri arasında kuruluşta giderek daha popüler hale geldikçe, üzerlerinde depolanan veriler saldırganlar için o kadar önemli hale geliyor" dedi .