More

    Novootkriveni malware MetaStealer cilja korisnike macOS-a

    Pojavio se novi malware za krađu informacija pod nazivom MetaStealer, ciljajući na macOS sisteme. Ovaj maliciozni softver napravljen je pomoću programskog jezika Go i može ukrasti različite osjetljive podatke žrtava. 

    Proces distribucije

    Prema istraživačima SentinelOne, mnogi uzorci malware-a ciljaju poslovne korisnike macOS-a kroz taktike društvenog inženjeringa, gdje se napadači predstavljaju kao lažni dizajn klijenti i namamljuju žrtve da izvrše maliciozne payload-e. 

    • Ovi mamci su često u obliku paketa malicioznih aplikacija u formatu slike diska (.dmg) s nazivima kao što su Brief_Presentation-Task_Overview-(SOW)-PlayersClub, AnimatedPoster, CONCEPT A3 puni meni sa jelima i prijevodima na engleski, i uvjetima oglašavanja referenca (MacOS prezentacija). 
    • U jednom slučaju, za distribuciju MetaStealer verzije korištena je datoteka slike diska pod nazivom ‘Ugovor o plaćanju i ugovor o povjerljivosti Lucasprod’a.
    • Istraživači su također primijetili nekoliko slučajeva u kojima su hakeri koristili popularna imena softvera, kao što je Adobe, kako bi prevarili žrtve da preuzmu malware.

    Specifičnosti malware-a

    • Primarna komponenta u paketima MetaStealer je Mach-O datoteka koja je napisana u Intel x86 asembler jeziku. 
    • Ova datoteka sadrži kompajlirani Go izvorni kod koji je namjerno zamaskiran i teško razumljiv. 
    • Go Build ID je uklonjen, a nazivi funkcija su skriveni. 
    • Ova metoda zamagljivanja koja se koristi u ovom malware-u slična je tehnikama koje se koriste u drugim malware-ima kao što su Sliver i Poseidon. 
    • Štaviše, istraživači tvrde da je nekoliko varijanti malware-a MetaStealer sposobno za Appleovu ugrađenu antivirusnu tehnologiju XProtect.

    Prošle nedelje je primećena nova verzija Atomic Stealer-a koja koristi lažnu TradingView aplikaciju za ciljanje korisnika macOS-a. Zanimljivo je da se neke varijante MetaStealer-a takođe pretvaraju da su TradingView.

    Da li je MetaStealer sličan Atomic Stealeru?

    • Uprkos tome što su oba infostealer-a napravljena pomoću Go i koriste osascript za prikazivanje poruka o grešci nakon izvršenja, nema mnogo sličnosti u stvarnom kodu koji se koristi između MetaStealer-a i Atomic Stealer-a. 
    • Pored toga, mrežna infrastruktura i način distribucije MetaStealer kampanja značajno se razlikuju od onoga što se vidi u Atomic Stealer-u.

    Zaključak

    Pojava još jednog macOS infostealer-a naglašava rastući trend ka ciljanju Mac korisnika. Iako Apple-ovo XProtect ažuriranje v2170 sadrži potpis detekcije za neke verzije MetaStealer-a, organizacije mogu preduzeti mjere protiv drugih varijanti pregledom indikatora povezanih sa malware-om i primjenom adekvatnih sigurnosnih rješenja.

    Izvor: Cyware Alerts – Hacker News

    Recent Articles

    spot_img

    Related Stories