I ricercatori di sicurezza di Uptycs hanno scoperto MacStealer un malware macOS in grado di rubare dal dispositivo compromesso dati personali, immagini, password e dettagli delle carte di credito oltre che carpire cookie per i browser Firefox, Google Chrome e browser Brave, documenti e dettagli di accesso.
I dettagli di Macstealer
Come pubblicizzato su di un forum clandestino dal mese di marzo, il malware può infettare Mac basati su MacOS Catalina e successive versioni, può ottenere diversi tipi di file, come file di testo, MP3, fotografie, file PowerPoint e database dell’iCloud KeyChain. Inoltre essendo in fase di sviluppo attivo, i suoi operatori avrebbero pianificato di aggiungere nuove funzionalità per acquisire dati anche dal browser Safari di Apple e dall’app Notes.
Il flusso di attacco
Secondo i ricercatori Uptycs, il malware si diffonderebbe attraverso l’app “weed.dmg” che una volta installata e aperta richiederebbe tramite un falso prompt la password di accesso alle preferenze di sistema.
Una volta che l’utente inserisce le proprie credenziali di accesso, lo stealer incomincerebbe a raccogliere diversi dati memorizzandoli in una directory di sistema, per poi comprimerli in un archivio ZIP e inviarli ad un server C2 (hxxp[:]//mac[.]cracked23[.]site/uploadLog) tramite una richiesta POST. Durante una fase successiva il file ZIP verrebbe cancellato dal sistema.
Gli operatori possono controllare le operazioni su Telegram
“Un malfattore utilizza Telegram come piattaforma di comando e controllo per esfiltrare i dati sensibili delle vittime” conclude Shilpesh Trivedi Senior Security Researcher Uptycs.
Dall’analisi condotta emerge infatti che MacStealer trasmetterebbe le informazioni di base carpite anche su dei canali pubblici di Telegram (hxxps[:]//t[.]me/macos_stealer_2023, hxxps[:]//t[.]me/macos_logsbot ), mentre Il server C2 una volta ricevuto il file ZIP provvederebbe a condividerlo tramite un bot Telegram privato.
Consigli
Lo sviluppatore malware ha fornito un elenco delle funzionalità di MacStealer che intenderebbe integrare prossimamente, tra cui il furto di criptovaluta dai wallet Exodus, Coinnomi, Metamask, uno strumento dedicato per la creazione di nuove build, un uploader personalizzato, una reverse shell e un pannello di controllo.
Si consiglia a tutti gli utenti Mac di mantenere sempre alta l’attenzione aggiornando i propri dispositivi e scaricando app solo da fonti attendibili come l’App Store.
Nel frattempo anche Trend Micro Research ha emanato un avviso pubblico:
“Il malware si sta attualmente diffondendo tramite siti Web di terze parti utilizzando immagini e grafica estratte da vere applicazioni P2E e promosse sui social media e sulle piattaforme di messaggistica Twitter, Discord e Telegram“
