MacStealer
Un malware descubierto recientemente conocido como MacStealer representa una amenaza para los usuarios del sistema operativo Mac de Apple. Este malware en particular ha sido diseñado para robar información confidencial de sus víctimas, incluidas sus credenciales de iCloud KeyChain, información de inicio de sesión del navegador web, billeteras de criptomonedas y potencialmente otros archivos importantes.
Lo que hace que MacStealer sea especialmente preocupante es que se distribuye como una plataforma de 'Malware-as-a-Service' (MaaS), lo que significa que el desarrollador ofrece compilaciones prefabricadas del malware para la venta a otros que deseen difundirlo aún más. . Estas compilaciones prefabricadas están disponibles para su compra por $ 100, lo que facilita que los actores malintencionados incorporen el malware en sus propias campañas.
Según los investigadores de Uptycs, quienes descubrieron por primera vez MacStealer, la amenaza puede ejecutarse en macOS Catalina (10.15) y todas las versiones hasta la más reciente, Ventura (13.2). Esto significa que prácticamente todos los usuarios de Mac son potencialmente vulnerables a este malware.
MacStealer puede comprometer una amplia gama de información confidencial
MacStealer es un malware que se descubrió en un foro ilícito de la Dark Web, donde el desarrollador lo ha estado promocionando. El vendedor afirma que el malware aún se encuentra en su fase inicial de desarrollo beta y, como tal, no ofrece paneles ni constructores. En cambio, el malware se vende como cargas útiles DMG preconstruidas que son capaces de infectar macOS Catalina, Big Sur, Monterey y Ventura.
El actor de amenazas afirma que la amenaza se vende a un precio muy bajo debido a la falta de un generador o panel, pero promete que pronto se agregarán funciones más avanzadas. Según el desarrollador, MacStealer es capaz de robar una amplia gama de datos confidenciales de sistemas comprometidos.
Por ejemplo, según se informa, MacStealer puede robar contraseñas de cuentas, cookies y detalles de tarjetas de crédito de navegadores web populares como Firefox, Chrome y Brave. Además, puede extraer numerosos tipos de archivos, incluidos archivos DOC, DOCX, PDF, TXT, XLS, XLSX, PPT, PPTX, CSV, BMP, MP3, JPG, PNG, ZIP, RAR, PY y DB.
El malware también es capaz de extraer la base de datos del llavero (login.keychain-db) en un formato codificado en base64. Este es un sistema de almacenamiento seguro en los sistemas macOS que guarda las contraseñas, las claves privadas y los certificados de los usuarios, cifrándolos con su contraseña de inicio de sesión. La función puede ingresar automáticamente las credenciales de inicio de sesión en páginas web y aplicaciones.
Por último, MacStealer puede recopilar información del sistema, información de la contraseña del llavero y robar billeteras de criptomonedas de numerosas billeteras criptográficas: Coinomi, Exodus, MetaMask, Martian Wallet, Phantom, Tron, Trust wallet, Keplr Wallet y Binance. Todas estas características hacen de MacStealer un malware altamente peligroso y preocupante para los usuarios de Mac.
El flujo operativo del malware MacStealer
MacStealer es distribuido por los actores de amenazas como un archivo DMG sin firmar. El archivo está destinado a disfrazarse como algo legítimo o deseable para engañar a la víctima para que lo ejecute en su sistema macOS. Una vez que la víctima ejecuta el archivo, aparece una solicitud de contraseña falsa, que ejecuta un comando que permite que el malware recopile contraseñas de la máquina comprometida.
Una vez recopiladas las contraseñas, MacStealer procede a recopilar otros datos confidenciales, como contraseñas de cuentas, cookies, detalles de tarjetas de crédito, billeteras de criptomonedas y archivos potencialmente confidenciales. Luego almacena todos estos datos en un archivo ZIP, que se envía a servidores remotos de comando y control para que el actor de amenazas los recopile más tarde.
Al mismo tiempo, MacStealer envía información básica específica a un canal de Telegram preconfigurado, lo que permite que el actor de amenazas sea notificado rápidamente cada vez que se roben nuevos datos y descargue el archivo ZIP.
Si bien la mayoría de las operaciones de malware como servicio (MaaS) se dirigen a los usuarios de Windows, macOS no es inmune a tales amenazas. Por lo tanto, es importante que los usuarios de macOS estén atentos y eviten instalar archivos de sitios web no confiables. Además, los usuarios deben mantener sus sistemas operativos y software de seguridad actualizados para protegerse contra las amenazas más recientes.
