0
0
Os usuários corporativos do macOS estão sendo alvo de invasores que lançam um novo malware que rouba informações, chamado MetaStealer.
O malware MetaStealer
O MetaStealer é entregue em arquivos maliciosos no formato de imagem de disco ( .dmg ).
Os nomes dos arquivos – como Termos de referência de publicidade (apresentação do MacOS).dmg e Brief_Presentation-Task_Overview-(SOW)-PlayersClub.dmg – e a inclusão de palavras como “Breve descrição oficial” indicam que os vendedores de malware estão indo especificamente para usuários corporativos do macOS.
Algumas versões do MetaStealer também imitavam arquivos ou software da Adobe: AdobeOfficialBriefDescription.dmg e Adobe Photoshop 2023 (com IA) installer.dmg .
Imagem de disco MetaStealer. (Fonte: SentinelOne)
Uma amostra do MetaStealer no arquivo Lucasprod.dmg do Contrato para pagamentos e acordo de confidencialidade foi enviada para o VirusTotal , junto com um comentário do remetente de que ele foi contatado por alguém fingindo ser um cliente, que lhe enviou um arquivo ZIP protegido por senha contendo esse arquivo DMG. Uma vez aberto, revelaria um aplicativo disfarçado de PDF.
“Os aplicativos dentro das imagens de disco do MetaStealer contêm o mínimo necessário para formar um pacote macOS válido, ou seja, um arquivo Info.plist, uma pasta Resources contendo uma imagem de ícone e uma pasta MacOS contendo o executável malicioso”, observou Phil Stokes, pesquisador de ameaças da SentinelOne.
Os pacotes MetaStealer contêm um executável ofuscado baseado em Go que pode exfiltrar as chaves do macOS, roubar senhas e arquivos. Algumas versões do malware aparentemente têm como alvo os serviços Telegram e Meta, observou ele também.
“Essa segmentação específica de usuários corporativos é um tanto incomum para malware macOS, que é mais comumente encontrado sendo distribuído por meio de sites de torrent ou distribuidores de software de terceiros suspeitos como versões crackeadas de software comercial, de produtividade ou outro software popular”, disse Stokes .
“Curiosamente, todas as amostras que coletamos são binários Intel x86_64 de arquitetura única, o que significa que eles não podem ser executados nas máquinas Apple Silicon M1 e M2 da Apple sem a ajuda da [camada de software de tradução da Apple] Rosetta.”
A ferramenta de bloqueio de malware XProtect da Apple oferece proteção limitada: ela interrompe algumas, mas não todas, amostras do MetaStealer.
Os infostealers do MacOS estão se multiplicando
Com a crescente popularidade dos dispositivos macOS em ambientes empresariais, os cibercriminosos têm se concentrado no desenvolvimento de mais malwares específicos para macOS.
Assim como o Atomic Stealer – um malware anunciado pela primeira vez em abril de 2023 e distribuído por meio do Google Ads – algumas versões do MetaStealer foram vistas disfarçadas de TradingView.
Mas embora ambos sejam baseados em Go e usem osascript para exibir mensagens de erro, os pesquisadores não notaram outras semelhanças no código, na infraestrutura e no método de entrega.
“Não podemos descartar que a mesma equipe de desenvolvedores de malware possa estar por trás de ambos os ladrões e que as diferenças na entrega se devam a diferentes compradores do malware, mas também é igualmente possível que indivíduos ou equipes totalmente diferentes estejam simplesmente usando técnicas semelhantes para alcançar os mesmos objetivos”, concluiu Stokes.
FONTE: HELP NET SECURITY