一种新的信息窃取恶意软件将目光投向了 Apple 的 macOS 操作系统,以从受感染的设备中窃取敏感信息。
它被称为MacStealer,是使用 Telegram 作为命令和控制 (C2) 平台来泄露数据的威胁的最新示例。它主要影响运行 macOS 版本 Catalina 以及之后运行在 M1 和 M2 CPU 上的设备。
Uptycs 研究人员 Shilpesh Trivedi 和 Pratik Jeware在一份新报告中说:“MacStealer 有能力从受害者的浏览器中窃取文档、cookie 和登录信息。”
本月初首次在在线黑客论坛上发布广告,它仍在进行中,恶意软件作者计划添加功能以从 Apple 的 Safari 浏览器和 Notes 应用程序中捕获数据。
目前,MacStealer 旨在从 Google Chrome、Mozilla Firefox 和 Brave 等浏览器中提取 iCloud Keychain 数据、密码和信用卡信息。它还支持收集 Microsoft Office 文件、图像、档案和 Python 脚本。
用于传递恶意软件的确切方法尚不清楚,但它作为 DMG 文件 ( weed.dmg ) 传播,执行时会打开一个伪造的密码提示,以寻求访问系统设置应用程序为幌子获取密码.
MacStealer 是过去几个月刚刚出现的几个 信息窃取程序之一,并且添加到目前已经存在的大量类似工具中。
这还包括另一款名为HookSpoofer的新型基于 C# 的恶意软件,它的灵感来自StormKitty,具有键盘记录和剪辑功能,可将窃取的数据传输到 Telegram 机器人。
另一个值得注意的浏览器 cookie 窃取恶意软件是Ducktail,它也使用Telegram 机器人来泄露数据,并在 2023 年 2 月中旬重新出现,并改进了回避检测的策略。
Deep Instinct 研究员 Simon Kenin本月早些时候表示,这涉及“将初始感染从包含恶意可执行文件的存档更改为包含将启动感染链的恶意 LNK 文件的存档”。
窃取者恶意软件通常通过不同渠道传播,包括电子邮件附件、虚假软件下载和其他社会工程技术。
为减轻此类威胁,建议用户及时更新操作系统和安全软件,避免下载文件或点击未知来源的链接。
SentinelOne 研究员 Phil Stokes上周表示:“随着 Mac 在企业领导层和开发团队中越来越受欢迎,存储在其中的数据对攻击者来说越重要。”
