Novo malware MetaStealer mira em sistemas macOS baseados em Intel

13/09/2023 17:30

Um novo malware ladrão de informações chamado MetaStealer está mirando em sistemas macOS baseados em Intel. O malware apareceu à solta, roubando uma grande variedade de informações confidenciais desses computadores.

O malware MetaStealer

MetaStealer, que não deve ser confundido com o ladrão de informações ‘META’ que obteve alguma popularidade no ano passado, é um malware baseado em Go capaz de escapar da tecnologia antivírus integrada XProtect da Apple, visando usuários corporativos.

De acordo com o SentinelOne (Via: Bleeping Computer), a empresa tem rastreado o malware nos últimos meses, observando um envolvimento incomum de engenharia social em sua distribuição. E, embora o mesmo tenha algumas semelhanças com o Atomic Stealer, outro macOS baseado em Go direcionado ao ladrão de informações, a sobreposição de código é limitada e os métodos de entrega são diferentes. Assim, o SentinelOne conclui que o MetaStealer é uma operação separada.

Chegada em sistemas macOS

O SentinelOne encontrou uma amostra de malware no VirusTotal com um comentário afirmando que os agentes da ameaça MetaStealer estão entrando em contato com empresas e se passando por clientes da empresa para distribuir o malware.

Fui alvo de alguém se passando por cliente de design e não percebi que havia algo fora do comum. O homem com quem estive negociando no trabalho na semana passada me enviou um arquivo zip protegido por senha contendo este arquivo DMG, o que achei um pouco estranho.

Contra o meu melhor julgamento, montei a imagem no meu computador para ver seu conteúdo. Ela continha um aplicativo disfarçado de PDF, que não abri e foi quando percebi que ele era um golpista.

VirusTotal

Anexados aos e-mails de phishing estão arquivos de imagem de disco que, quando montados no sistema de arquivos, contêm executáveis com nomes enganosos que aparecem como arquivos PDF para enganar a vítima e fazê-la abri-los.

novo-malware-metastealer-mira-em-sistemas-macos-baseados-em-intel

O SentinelOne observou DMGs com nomes de software Adobe ou trabalho de cliente, incluindo o seguinte:

Termos de referência de publicidade (apresentação MacOS).dmg
Menu completo do CONCEPT A3 com pratos e traduções para o inglês.dmg
AnimatedPoster.dmg
Brief_Presentation-Task_Overview-(SOW)-PlayersClub.dmg
AdobeOfficialBriefDescription.dmg
Instalador do Adobe Photoshop 2023 (com IA).dmg

Os pacotes de aplicativos do malware contêm o essencial, ou seja, um arquivo Info.plist, uma pasta Resources com uma imagem de ícone e uma pasta macOS com o executável Mach-O malicioso. Nenhuma das amostras examinadas pelo SentinelOne foi assinada, apesar de algumas versões apresentarem um Apple Developer ID.

Capacidades do MetaStealer

O MetaStealer tenta roubar informações armazenadas nos sistemas comprometidos, incluindo senhas, arquivos e dados de aplicativos, e depois tenta exfiltrá-los via TCP pela porta 3000. Especificamente, as funções do malware permitem exfiltrar as chaves e extrair senhas salvas, roubar arquivos do sistema e direcionar os serviços Telegram e Meta (Facebook).

Em sua versão atual, o MetaStealer roda apenas na arquitetura Intel x86_64, o que significa que não pode comprometer sistemas macOS rodando em processadores Apple Silicon (M1, M2), a menos que a vítima use Rosetta para executar o malware. No entanto, o MetaStealer pode lançar uma nova versão que adicione suporte nativo ao Apple Silicon, por isso é uma ameaça a ser observada.

Via: Bleeping Computer

Assuntos

Mais Notícias

Mais artigos

Ransomware RansomHub

Ransomware RansomHub usa ferramenta TDSSKiller para desabilitar sistemas de detecção e resposta de endpoint

Pesquisadores de segurança observaram o grupo de ransomware RansomHub usando a ferramenta TDSSKiller para desabilitar sistemas de detecção e resposta de endpoint (EDR). RansomHub usa ferramenta TDSSKiller para desabilitar detecção e resposta de endpoint A gangue de ransomware RansomHub está usando a ferramenta TDSSKiller para desabilitar sistemas de detecção e resposta de endpoint (EDR), observou […]

Quishing

Quishing: um ataque de phishing usando códigos QR!

Você deve estar acostumado com o termo phishing, golpe que usa e-mails, por exemplo, para fazer suas vítimas. O Quishing é um tipo de ataque de phishing em que criminosos usam códigos QR para induzir os usuários a fornecer informações confidenciais ou baixar malware. Ataques de Quishing Nos últimos anos, a disseminação de carros elétricos […]

Ransomware emergente

Cicada3301: ameaça emergente ou rebranding do Alphv/BlackCat?

O Cicada3301, um novo ransomware, tem várias semelhanças com o Alphv/BlackCat, levando a suspeitas de que seja um rebranding. Saiba mais sobre as táticas e diferenças entre esses grupos.

Styx Stealer

Desmascarando o Styx Stealer: como um erro de hacker levou a um tesouro de inteligência

Nossa equipe de especialistas da Check Point Research (CPR) descobriu recentemente o Styx Stealer, um novo malware capaz de roubar dados de navegadores, sessões de mensageiros instantâneos do Telegram e Discord e criptomoedas. Embora tenha surgido pouco tempo atrás, já foi identificado em ataques, incluindo aqueles direcionados a diversas empresas e setores. O desenvolvedor do […]

Ataque Ransomware

Ataque de ransomware Cicada3301 atinge sistemas Windows, Linux e ESXi

O grupo de ransomware Cicada3301, surgido em 2024, está atacando sistemas Windows, Linux e ESXi. Usando técnicas de criptografia avançadas e operando como uma plataforma de ransomware-as-a-service, ele representa uma ameaça crescente.

Dsistribuição de Malware

Comentários do GitHub são usados para espalhar malware!

O GitHub está sendo usado para distribuir o malware Lumma Stealer. Esse malware rouba informações, como correções falsas postadas nos comentários do projeto e está sendo espalhado na plataforma. Malware sendo espalhado em comentários do GitHub A campanha foi relatada pela primeira vez por um colaborador da biblioteca teloxide rust (Via: Bleeping Computer), que observou […]