A empresa americana de segurança cibernética SentinelOne diz que o novo Malware MetaStealer ataca sistemas macOS baseados em Intel.
Um novo malware ladrão de informações chamado ‘MetaStealer’ apareceu à solta, roubando uma grande variedade de informações confidenciais de computadores macOS baseados em Intel.
Malware MetaStealer ataca sistemas macOS baseados em Intel
MetaStealer, que não deve ser confundido com o ladrão de informações ‘META’ que obteve alguma popularidade no ano passado, é um malware baseado em Go capaz de escapar da tecnologia antivírus integrada XProtect da Apple, visando usuários corporativos.
SentinelOne relata que tem rastreado o malware nos últimos meses, observando um envolvimento incomum de engenharia social em sua distribuição.
Embora o malware tenha algumas semelhanças com o Atomic Stealer, outro malware para macOS baseado em Go direcionado ao roubo de informações, a sobreposição de código é limitada e os métodos de entrega são diferentes.
Portanto, o SentinelOne conclui que o MetaStealer é uma operação separada.
O SentinelOne encontrou uma amostra de malware no VirusTotal com um comentário afirmando que os agentes da ameaça MetaStealer estão entrando em contato com empresas e se passando por clientes da empresa para distribuir o malware.
“Fui alvo de alguém se passando por cliente de design e não percebi que havia algo fora do comum. O homem com quem estive negociando no trabalho na semana passada me enviou um arquivo zip protegido por senha contendo este arquivo DMG, o que achei um pouco estranho”, diz o comentário do VirusTotal.
“Contra o meu melhor julgamento, montei a imagem no meu computador para ver seu conteúdo. Ela continha um aplicativo disfarçado de PDF, que não abri e foi quando percebi que ele era um golpista.”
Anexados aos e-mails de phishing estão arquivos de imagem de disco que, quando montados no sistema de arquivos, contêm executáveis com nomes enganosos que aparecem como arquivos PDF para enganar a vítima e fazê-la abri-los.
O SentinelOne observou DMGs com nomes de software Adobe ou trabalho de cliente, incluindo o seguinte:
- Termos de referência de publicidade (apresentação MacOS).dmg
- Menu completo do CONCEPT A3 com pratos e traduções para o inglês.dmg
- AnimatedPoster.dmg
- Brief_Presentation-Task_Overview-(SOW)-PlayersClub.dmg
- AdobeOfficialBriefDescription.dmg
- Instalador do Adobe Photoshop 2023 (com IA).dmg
Os pacotes de aplicativos do malware contêm o essencial, ou seja, um arquivo Info.plist, uma pasta Resources com uma imagem de ícone e uma pasta macOS com o executável Mach-O malicioso.
Nenhuma das amostras examinadas pelo SentinelOne foi assinada, apesar de algumas versões apresentarem um Apple Developer ID.
O MetaStealer tenta roubar informações armazenadas nos sistemas comprometidos, incluindo senhas, arquivos e dados de aplicativos, e depois tenta exfiltrá-los via TCP pela porta 3000.
Especificamente, as funções do malware permitem exfiltrar as chaves e extrair senhas salvas, roubar arquivos do sistema e direcionar os serviços Telegram e Meta (Facebook).
O chaveiro é um sistema de gerenciamento de senhas em nível de sistema para macOS, gerenciando credenciais de sites, aplicativos, redes WiFi, certificados, chaves de criptografia, informações de cartão de crédito e até notas privadas.
Conseqüentemente, a exfiltração do conteúdo das chaves é um recurso poderoso que pode dar aos invasores acesso a dados confidenciais.
Em sua versão atual, o MetaStealer roda apenas na arquitetura Intel x86_64, o que significa que não pode comprometer sistemas macOS rodando em processadores Apple Silicon (M1, M2), a menos que a vítima use Rosetta para executar o malware.
Isto mitiga a ameaça e limita-a a um número cada vez menor de vítimas potenciais, à medida que os computadores Apple baseados em Intel estão sendo descontinuados.
No entanto, o MetaStealer pode lançar uma nova versão que adicione suporte nativo ao Apple Silicon, por isso é uma ameaça a ser observada.
