Un nouveau malware voleur d’informations appelé MétaStealer a jeté son dévolu sur Apple macOS, constituant la dernière d’une liste croissante de familles de voleurs axées sur le système d’exploitation après Stealer, Pureland, Atomic Stealer et Realst.
« Les acteurs malveillants ciblent de manière proactive les entreprises macOS en se faisant passer pour de faux clients afin d’inciter socialement leurs victimes à lancer des charges utiles malveillantes », Phil Stokes, chercheur en sécurité chez SentinelOne. dit dans une analyse de lundi.
Dans ces attaques, MetaStealer est distribué sous la forme d’ensembles d’applications malveillantes au format d’image disque (DMG), les cibles étant approchées par des acteurs malveillants se faisant passer pour des clients de conception potentiels afin de partager une archive ZIP protégée par mot de passe contenant le fichier DMG.
D’autres cas impliquent des logiciels malveillants se faisant passer pour des fichiers Adobe ou des programmes d’installation d’Adobe Photoshop. Les preuves recueillies jusqu’à présent montrent que les artefacts MetaStealer ont commencé à apparaître dans la nature en mars 2023. L’échantillon le plus récent a été téléchargé sur VirusTotal le 27 août 2023.
« Ce ciblage spécifique des utilisateurs professionnels est quelque peu inhabituel pour les logiciels malveillants macOS, qui sont plus souvent distribués via des sites torrent ou des distributeurs de logiciels tiers suspects sous forme de versions crackées de logiciels commerciaux, de productivité ou d’autres logiciels populaires », a déclaré Stokes.
Le composant principal de la charge utile est un exécutable obscurci basé sur Go, doté de fonctionnalités permettant de récolter des données du trousseau iCloud, des mots de passe enregistrés et des fichiers de l’hôte compromis.
Certaines versions du logiciel malveillant ont été observées, contenant des fonctions susceptibles de cibler les services Telegram et Meta.
SentinelOne a déclaré avoir observé certaines variantes de MetaStealer se faisant passer pour TradingView, la même tactique qui a été adoptée par Atomic Stealer ces dernières semaines.
Bien trop vulnérable : découvrir l’état de la surface d’attaque d’identité
MFA atteinte ? PAM ? Protection du compte de service ? Découvrez à quel point votre organisation est réellement équipée contre les menaces d’identité
Cela soulève deux possibilités : soit les mêmes auteurs de logiciels malveillants pourraient être à l’origine des deux familles de voleurs et ont été adoptés par différents acteurs de la menace en raison de différences dans le mécanisme de diffusion, soit ils sont l’œuvre d’ensembles d’acteurs disparates.
« L’apparition d’un autre voleur d’informations macOS cette année montre que la tendance à cibler les utilisateurs de Mac pour leurs données continue de gagner en popularité parmi les acteurs de la menace », a déclaré Stokes.
« Ce qui distingue MetaStealer parmi cette génération de logiciels malveillants récents, c’est le ciblage clair des utilisateurs professionnels et l’objectif d’exfiltrer des trousseaux précieux et d’autres informations de ces cibles. Ces données de grande valeur peuvent être utilisées pour poursuivre d’autres activités cybercriminelles ou prendre pied dans un réseau d’affaires plus vaste.