Új macOS fertőzés lopja az iCloud kulcstartó adatait és jelszavait
Egy új információlopó kártevő a Macintosh operációs rendszerre (macOS) koncentrál, hogy kiszivárogtasson érzékeny adatokat a megtámadott eszközökről.
A MacStealer néven ismert fenyegetés a Telegramot használja parancs- és irányító központként az adatok szivárogtatásához. Főként a Catalina és újabb macOS verziókra, M1 és M2 CPU-kkal felszerelt eszközökre hatékony.
A kártékony szoftver az iCloud kulcskarikából, jelszavakból és bankkártya-információkból származó adatokat szedi össze, valamint képes dokumentumok és cookie-k megszerzésére is a felhasználó böngészőjéből.
A MacStealer jelenlegi formájában a Google Chrome, a Mozilla Firefox és a Brave böngészőkből származó adatokat szedi össze. Az ellopott adatokat a Telegram botokon keresztül továbbítják. A működéséhez nem szükséges telepített Telegram alkalmazás, hiszen az a humán felhasználó részére ad lehetőséget az interakciókra, míg a Telegram szervereket http kommunikációval enélkül is el lehet érni.
Az információlopó kártevőt DMG fájlként terjesztik – egyelőre pontosan nem ismert módszerekkel -, és a felhasználóknak hamis jelszó kérési ablakot jelenít meg, hogy jogosultságot szerezzen. Az elkövetők tervei között szerepel, hogy bővítik a MacStealer funkcióit az Apple Safari böngészőből és a Jegyzetek alkalmazásból történő adatgyűjtéshez is.
A MacStealer és a többi információlopó kártevők ellenében a felhasználók számára a szakemberek azt javasolják, hogy tartsák naprakészen az operációs rendszereiket és a biztonsági szoftvereket, valamint kerüljék az ismeretlen forrásokból való fájlok letöltését és az ilyen linkekre kattintást.
Ezen kívül terjed egy új C#-alapú kártevő is, amelyet HookSpoofernek neveznek, és a StormKitty inspirálta. Ez kulcsnaplózást és vágólap funkciókat tartalmaz, és az ellopott adatokat szintén egy Telegram botra továbbítja.
Egy másik érdekes böngésző süti-lopó malware a Ducktail, amely szintén használ egy Telegram botot az adatok kiszivárogtatására és február közepén új rejtőzködési taktikákkal bukkant fel, hogy elkerülje a lebukást.
Ez a fertőzés kezdeti fázisának megváltoztatását jelenti, egy rosszindulatú végrehajtható fájlt tartalmazó archívumról egy rosszindulatú LNK fájlra, amely elindítja a fertőzési láncot. Ez a kis változtatás azért volt jelentős lépés, mivel így a fertőzés kezdeti lépésénél sokkal egyszerűbben kiküszöbölhető az Antivírus alkalmazás általi felismerés. A felismerést ugye az könnyíti, ha egy adott fájlt már felvettek a fekete listára, azonban egy link fájl nem lehet rosszindulatú (max. a segítségével letölthető tartalom).
Az adatlopó malware-ek általában különböző csatornákon terjednek, beleértve az e-mail mellékleteket, hamis szoftver letöltéseket és más humán hálózati technikákat.
Ezeknek a fenyegetéseknek a csökkentése érdekében azt javasoljuk a cégeknek, hogy IT biztonsági szakértőkkel készíttessenek egy sérülékenységi elemzést a szervezetről, ami meg tudja mutatni a lehetséges gyenge pontokat, és hatékony segítséget adnak az informatikai biztonság megerősítéséhez.
Mivel a Mac-ek egyre népszerűbbek lettek az vállalati a vezetői és a kreatív fejlesztői csapatok körében egyaránt, az ott tárolt adatok szintén egyre fontosabbak az adatlopóknak.