Malware pencuri info baru bernama MacStealer menargetkan pengguna Mac, mencuri kredensial mereka yang disimpan di iCloud KeyChain dan browser web, dompet cryptocurrency, dan file yang berpotensi sensitif.
MacStealer didistribusikan sebagai malware-as-a-service (MaaS), di mana pengembang menjual bangunan siap pakai seharga $100, memungkinkan pembeli untuk menyebarkan malware dalam kampanye mereka.
Menurut Tim peneliti ancaman Uptycs yang menemukan malware macOS baru, dapat berjalan di macOS Catalina (10.15) dan hingga versi terbaru OS Apple, Ventura (13.2).
Menargetkan pengguna Mac
MacStealer ditemukan oleh analis Uptycs di forum peretasan web gelap tempat pengembang telah mempromosikannya sejak awal bulan.
Penjual mengklaim malware tersebut masih dalam tahap pengembangan beta awal dan tidak menawarkan panel atau pembuat. Sebaliknya, ia menjual muatan DMG siap pakai yang dapat menginfeksi macOS Catalina, Big Sur, Monterey, dan Ventura.
Pelaku ancaman menggunakan kurangnya pembuat dan panel untuk membenarkan harga rendah $100 untuk malware, tetapi berjanji bahwa fitur yang lebih canggih akan segera hadir.
Pengembang malware mengklaim bahwa MacStealer dapat mencuri data berikut dari sistem yang disusupi:
- Kata sandi akun, cookie, dan detail kartu kredit dari Firefox, Chrome, dan Brave.
- File TXT, DOC, DOCX, PDF, XLS, XLSX, PPT, PPTX, JPG, PNG, CSV, BMP, MP3, ZIP, RAR, PY, dan DB
- Ekstrak database Keychain (login.keychain-db) dalam bentuk yang disandikan base64
- Mengumpulkan informasi Sistem
- Kumpulkan informasi kata sandi rantai kunci
- Coinomi, Exodus, MetaMask, Phantom, Tron, Martian Wallet, Trust wallet, Keplr Wallet, dan dompet cryptocurrency Binance
Database Rantai Kunci adalah sistem penyimpanan aman di macOS yang menyimpan kata sandi, kunci pribadi, dan sertifikat pengguna, mengenkripsinya dengan kata sandi masuk mereka. Fitur tersebut kemudian dapat secara otomatis memasukkan kredensial login di halaman web dan aplikasi.
Fungsi malware
Pelaku ancaman mendistribusikan MacStealer sebagai file DMG tidak bertanda tangan yang berpura-pura sebagai sesuatu yang ditipu oleh korban untuk dieksekusi di macOS mereka.
Setelah melakukannya, permintaan kata sandi palsu diberikan kepada korban untuk menjalankan perintah yang memungkinkan malware mengumpulkan kata sandi dari mesin yang disusupi.
Malware kemudian mengumpulkan semua data yang disebutkan di bagian sebelumnya, menyimpannya dalam file ZIP, dan mengirimkan data yang dicuri ke server perintah dan kontrol jarak jauh untuk dikumpulkan nanti oleh pelaku ancaman.
Pada saat yang sama, MacStealer mengirimkan beberapa informasi dasar ke saluran Telegram yang telah dikonfigurasi sebelumnya, memungkinkan operator untuk diberi tahu dengan cepat saat data baru dicuri dan mengunduh file ZIP.
Sementara sebagian besar operasi MaaS menargetkan pengguna Windows, macOS tidak kebal terhadap ancaman semacam itu, jadi penggunanya harus tetap waspada dan menghindari mengunduh file dari situs web yang tidak dapat dipercaya.
Bulan lalu, peneliti keamanan iamdeadlyz juga menemukan malware pencuri informasi Mac baru didistribusikan di a kampanye phishing yang menargetkan pemain ‘The Sandbox’ permainan blockchain.
Pencuri informasi itu juga menargetkan kredensial yang disimpan di browser dan dompet cryptocurrency, termasuk Exodus, Phantom, Atomic, Electrum, dan MetaMask.
Dengan dompet cryptocurrency yang sangat diincar oleh pelaku ancaman, kita kemungkinan akan melihat pengembang malware lebih lanjut menargetkan macOS dalam pencarian mereka untuk mencuri dompet cryptocurrency.
