MacStealer

Un logiciel malveillant récemment découvert connu sous le nom de MacStealer constitue une menace pour les utilisateurs du système d'exploitation Mac d'Apple. Ce malware particulier a été conçu pour voler des informations sensibles à ses victimes, y compris leurs informations d'identification iCloud KeyChain, les informations de connexion au navigateur Web, les portefeuilles de crypto-monnaie et potentiellement d'autres fichiers importants.

Ce qui rend MacStealer particulièrement préoccupant, c'est qu'il est distribué en tant que plate-forme "Malware-as-a-Service" (MaaS), ce qui signifie que le développeur propose des versions prédéfinies du malware à vendre à d'autres qui souhaitent le diffuser davantage. . Ces versions prédéfinies sont disponibles à l'achat pour 100 $, ce qui permet aux acteurs malveillants d'intégrer plus facilement le logiciel malveillant dans leurs propres campagnes.

Selon les chercheurs d'Uptycs, qui ont découvert MacStealer en premier, la menace est capable de fonctionner sur macOS Catalina (10.15) et toutes les versions jusqu'à la plus récente, Ventura (13.2). Cela signifie que pratiquement tous les utilisateurs de Mac sont potentiellement vulnérables à ce malware.

MacStealer peut compromettre un large éventail d'informations sensibles

MacStealer est un logiciel malveillant qui a été découvert sur un forum illicite du Dark Web, où le développeur en a fait la promotion. Le vendeur affirme que le malware est encore dans sa première phase de développement bêta et, à ce titre, ne propose aucun panneau ni constructeur. Au lieu de cela, le logiciel malveillant est vendu sous forme de charges utiles DMG prédéfinies capables d'infecter macOS Catalina, Big Sur, Monterey et Ventura.

L'acteur de la menace déclare que la menace est vendue à un prix si bas en raison de l'absence d'un constructeur ou d'un panneau, mais promet que des fonctionnalités plus avancées seront bientôt ajoutées. Selon le développeur, MacStealer est capable de voler un large éventail de données sensibles à partir de systèmes compromis.

Par exemple, MacStealer pourrait voler des mots de passe de compte, des cookies et des détails de carte de crédit à partir de navigateurs Web populaires tels que Firefox, Chrome et Brave. De plus, il peut extraire de nombreux types de fichiers, notamment les fichiers DOC, DOCX, PDF, TXT, XLS, XLSX, PPT, PPTX, CSV, BMP, MP3, JPG, PNG, ZIP, RAR, PY et DB.

Le logiciel malveillant est également capable d'extraire la base de données Keychain (login.keychain-db) sous une forme encodée en base64. Il s'agit d'un système de stockage sécurisé dans les systèmes macOS qui contient les mots de passe, les clés privées et les certificats des utilisateurs, en les cryptant avec leur mot de passe de connexion. La fonctionnalité peut saisir automatiquement les identifiants de connexion sur les pages Web et les applications.

Enfin, MacStealer peut collecter des informations système, des informations de mot de passe Keychain et voler des portefeuilles de crypto-monnaie à partir de nombreux portefeuilles cryptographiques - Coinomi, Exodus, MetaMask, Martian Wallet, Phantom, Tron, Trust wallet, Keplr Wallet et Binance. Toutes ces fonctionnalités font de MacStealer un malware très dangereux et inquiétant pour les utilisateurs de Mac.

Le flux opérationnel du logiciel malveillant MacStealer

MacStealer est distribué par les acteurs de la menace sous la forme d'un fichier DMG non signé. Le fichier est destiné à être déguisé en quelque chose de légitime ou souhaitable pour inciter la victime à l'exécuter sur son système macOS. Une fois que la victime exécute le fichier, une fausse invite de mot de passe apparaît, qui exécute une commande qui permet au logiciel malveillant de collecter les mots de passe de la machine compromise.

Une fois les mots de passe collectés, MacStealer procède à la collecte d'autres données sensibles, telles que les mots de passe de compte, les cookies, les détails de la carte de crédit, les portefeuilles de crypto-monnaie et les fichiers potentiellement sensibles. Il stocke ensuite toutes ces données dans un fichier ZIP, qui est envoyé à des serveurs de commande et de contrôle distants pour être collecté ultérieurement par l'auteur de la menace.

Dans le même temps, MacStealer envoie des informations de base spécifiques à un canal Telegram préconfiguré, ce qui permet à l'auteur de la menace d'être rapidement averti chaque fois que de nouvelles données sont volées et de télécharger le fichier ZIP.

Alors que la plupart des opérations Malware-as-a-Service (MaaS) ciblent les utilisateurs Windows, macOS n'est pas à l'abri de ces menaces. Par conséquent, il est important que les utilisateurs de macOS restent vigilants et évitent d'installer des fichiers à partir de sites Web non fiables. De plus, les utilisateurs doivent maintenir à jour leurs systèmes d'exploitation et leurs logiciels de sécurité pour se protéger contre les dernières menaces.