Un nuevo malware ladrón de información llamado MetaStealer ha puesto su mirada en Apple macOS, convirtiéndose en el último de una lista cada vez mayor de familias de ladrones centradas en el sistema operativo después de Stealer, Pureland, Atomic Stealer y Realst.
«Los actores de amenazas están apuntando proactivamente a empresas de macOS haciéndose pasar por clientes falsos para diseñar socialmente a las víctimas para que lancen cargas maliciosas», dijo el investigador de seguridad de SentinelOne, Phil Stokes. dicho en un análisis del lunes.
En estos ataques, MetaStealer se distribuye en forma de paquetes de aplicaciones maliciosas en formato de imagen de disco (DMG), y los objetivos se acercan a través de actores de amenazas que se hacen pasar por posibles clientes de diseño para compartir un archivo ZIP protegido con contraseña que contiene el archivo DMG.
En otros casos, el malware se hizo pasar por archivos de Adobe o instaladores de Adobe Photoshop. La evidencia recopilada hasta ahora muestra que los artefactos MetaStealer comenzaron a aparecer en estado salvaje en marzo de 2023. La muestra más reciente se subió a VirusTotal el 27 de agosto de 2023.
«Este objetivo específico de usuarios empresariales es algo inusual para el malware macOS, que se distribuye más comúnmente a través de sitios de torrents o distribuidores de software de terceros sospechosos como versiones crackeadas de software empresarial, de productividad u otro software popular», dijo Stokes.
El componente principal de la carga útil es un ejecutable ofuscado basado en Go que viene con funciones para recopilar datos de iCloud Keychain, contraseñas guardadas y archivos del host comprometido.
Se han observado versiones seleccionadas del malware que contienen funciones que probablemente apuntan a los servicios Telegram y Meta.
SentinelOne dijo que observó algunas variantes de MetaStealer que se hacían pasar por TradingView, la misma táctica que ha adoptado Atomic Stealer en las últimas semanas.
Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad
¿Consiguió el MFA? ¿PAM? ¿Protección de la cuenta de servicio? Descubra qué tan bien equipada está realmente su organización contra las amenazas a la identidad
Esto plantea dos posibilidades: o los mismos autores de malware podrían estar detrás de ambas familias de ladrones y haber sido adoptados por diferentes actores de amenazas debido a diferencias en el mecanismo de entrega, o son obra de conjuntos dispares de actores.
«La aparición de otro ladrón de información de macOS este año muestra que la tendencia a apuntar a los usuarios de Mac para obtener sus datos continúa aumentando en popularidad entre los actores de amenazas», dijo Stokes.
«Lo que hace que MetaStealer sea notable entre esta cosecha de malware reciente es el claro objetivo de los usuarios empresariales y el objetivo de exfiltrar llaveros valiosos y otra información de estos objetivos. Estos datos de alto valor se pueden utilizar para realizar más actividades cibercriminales o ganar terreno en una red empresarial más amplia».