Novo malware MetaStealer mira em sistemas macOS baseados em Intel

Novo malware MetaStealer mira em sistemas macOS baseados em Intel

Um novo malware ladrão de informações chamado MetaStealer está mirando em sistemas macOS baseados em Intel. O malware apareceu à solta, roubando uma grande variedade de informações confidenciais desses computadores.

O malware MetaStealer

MetaStealer, que não deve ser confundido com o ladrão de informações ‘META’ que obteve alguma popularidade no ano passado, é um malware baseado em Go capaz de escapar da tecnologia antivírus integrada XProtect da Apple, visando usuários corporativos.

De acordo com o SentinelOne (Via: Bleeping Computer), a empresa tem rastreado o malware nos últimos meses, observando um envolvimento incomum de engenharia social em sua distribuição. E, embora o mesmo tenha algumas semelhanças com o Atomic Stealer, outro macOS baseado em Go direcionado ao ladrão de informações, a sobreposição de código é limitada e os métodos de entrega são diferentes. Assim, o SentinelOne conclui que o MetaStealer é uma operação separada.

Chegada em sistemas macOS

O SentinelOne encontrou uma amostra de malware no VirusTotal com um comentário afirmando que os agentes da ameaça MetaStealer estão entrando em contato com empresas e se passando por clientes da empresa para distribuir o malware.

Fui alvo de alguém se passando por cliente de design e não percebi que havia algo fora do comum. O homem com quem estive negociando no trabalho na semana passada me enviou um arquivo zip protegido por senha contendo este arquivo DMG, o que achei um pouco estranho.

Contra o meu melhor julgamento, montei a imagem no meu computador para ver seu conteúdo. Ela continha um aplicativo disfarçado de PDF, que não abri e foi quando percebi que ele era um golpista.

VirusTotal

Anexados aos e-mails de phishing estão arquivos de imagem de disco que, quando montados no sistema de arquivos, contêm executáveis com nomes enganosos que aparecem como arquivos PDF para enganar a vítima e fazê-la abri-los.

O SentinelOne observou DMGs com nomes de software Adobe ou trabalho de cliente, incluindo o seguinte:

  • Termos de referência de publicidade (apresentação MacOS).dmg
  • Menu completo do CONCEPT A3 com pratos e traduções para o inglês.dmg
  • AnimatedPoster.dmg
  • Brief_Presentation-Task_Overview-(SOW)-PlayersClub.dmg
  • AdobeOfficialBriefDescription.dmg
  • Instalador do Adobe Photoshop 2023 (com IA).dmg

Os pacotes de aplicativos do malware contêm o essencial, ou seja, um arquivo Info.plist, uma pasta Resources com uma imagem de ícone e uma pasta macOS com o executável Mach-O malicioso. Nenhuma das amostras examinadas pelo SentinelOne foi assinada, apesar de algumas versões apresentarem um Apple Developer ID.

Capacidades do MetaStealer

O MetaStealer tenta roubar informações armazenadas nos sistemas comprometidos, incluindo senhas, arquivos e dados de aplicativos, e depois tenta exfiltrá-los via TCP pela porta 3000. Especificamente, as funções do malware permitem exfiltrar as chaves e extrair senhas salvas, roubar arquivos do sistema e direcionar os serviços Telegram e Meta (Facebook).

Em sua versão atual, o MetaStealer roda apenas na arquitetura Intel x86_64, o que significa que não pode comprometer sistemas macOS rodando em processadores Apple Silicon (M1, M2), a menos que a vítima use Rosetta para executar o malware. No entanto, o MetaStealer pode lançar uma nova versão que adicione suporte nativo ao Apple Silicon, por isso é uma ameaça a ser observada.

Via: Bleeping Computer
Acesse a versão completa
Sair da versão mobile