MacStealer

Eine kürzlich entdeckte Malware namens MacStealer stellt eine Bedrohung für Benutzer des Mac-Betriebssystems von Apple dar. Diese spezielle Malware wurde entwickelt, um sensible Informationen von ihren Opfern zu stehlen, einschließlich ihrer iCloud KeyChain-Anmeldeinformationen, Webbrowser-Anmeldeinformationen, Kryptowährungs-Geldbörsen und möglicherweise anderer wichtiger Dateien.

Was MacStealer besonders besorgniserregend macht, ist, dass es als „Malware-as-a-Service“-Plattform (MaaS) vertrieben wird, was bedeutet, dass der Entwickler vorgefertigte Builds der Malware anderen zum Verkauf anbietet, die sie weiter verbreiten möchten . Diese vorgefertigten Builds sind für 100 US-Dollar erhältlich, was es böswilligen Akteuren erleichtert, die Malware in ihre eigenen Kampagnen zu integrieren.

Laut den Forschern von Uptycs, die MacStealer zuerst entdeckten, kann die Bedrohung auf macOS Catalina (10.15) und allen Versionen bis zur neuesten Ventura (13.2) ausgeführt werden. Dies bedeutet, dass praktisch alle Mac-Benutzer potenziell anfällig für diese Malware sind.

MacStealer kann eine Vielzahl sensibler Informationen kompromittieren

MacStealer ist Malware, die in einem illegalen Dark-Web-Forum aufgedeckt wurde, wo der Entwickler dafür geworben hat. Der Verkäufer behauptet, dass sich die Malware noch in der frühen Beta-Entwicklungsphase befindet und daher keine Panels oder Builder anbietet. Stattdessen wird die Malware als vorgefertigte DMG-Payloads verkauft, die in der Lage sind, macOS Catalina, Big Sur, Monterey und Ventura zu infizieren.

Der Bedrohungsakteur gibt an, dass die Bedrohung aufgrund des Fehlens eines Builders oder Panels so günstig verkauft wird, verspricht aber, dass bald erweiterte Funktionen hinzugefügt werden. Laut dem Entwickler ist MacStealer in der Lage, eine Vielzahl sensibler Daten von kompromittierten Systemen zu stehlen.

Beispielsweise kann MacStealer Berichten zufolge Kontopasswörter, Cookies und Kreditkartendaten von gängigen Webbrowsern wie Firefox, Chrome und Brave stehlen. Darüber hinaus kann es zahlreiche Dateitypen extrahieren, darunter DOC-, DOCX-, PDF-, TXT-, XLS-, XLSX-, PPT-, PPTX-, CSV-, BMP-, MP3-, JPG-, PNG-, ZIP-, RAR-, PY- und DB-Dateien.

Die Malware ist auch in der Lage, die Schlüsselbunddatenbank (login.keychain-db) in base64-kodierter Form zu extrahieren. Dies ist ein sicheres Speichersystem in macOS-Systemen, das die Passwörter, privaten Schlüssel und Zertifikate der Benutzer enthält und sie mit ihrem Anmeldepasswort verschlüsselt. Die Funktion kann automatisch Anmeldeinformationen auf Webseiten und Apps eingeben.

Schließlich kann MacStealer Systeminformationen und Schlüsselbund-Passwortinformationen sammeln und Kryptowährungs-Wallets aus zahlreichen Krypto-Wallets stehlen – Coinomi, Exodus, MetaMask, Martian Wallet, Phantom, Tron, Trust Wallet, Keplr Wallet und Binance. All diese Funktionen machen MacStealer zu einer äußerst gefährlichen und besorgniserregenden Malware für Mac-Benutzer.

Der Betriebsablauf der MacStealer-Malware

MacStealer wird von den Angreifern als unsignierte DMG-Datei verteilt. Die Datei soll als legitim oder wünschenswert getarnt werden, um das Opfer dazu zu bringen, sie auf seinem macOS-System auszuführen. Sobald das Opfer die Datei ausführt, erscheint eine gefälschte Passwortabfrage, die einen Befehl ausführt, der es der Malware ermöglicht, Passwörter von dem kompromittierten Computer zu sammeln.

Nachdem die Passwörter gesammelt wurden, fährt MacStealer damit fort, andere sensible Daten zu sammeln, wie z. B. Kontopasswörter, Cookies, Kreditkartendaten, Wallets für Kryptowährungen und potenziell sensible Dateien. Anschließend speichert es all diese Daten in einer ZIP-Datei, die an Remote-Command-and-Control-Server gesendet wird, um später vom Angreifer gesammelt zu werden.

Gleichzeitig sendet MacStealer spezifische Basisinformationen an einen vorkonfigurierten Telegram-Kanal, wodurch der Angreifer bei jedem Diebstahl neuer Daten schnell benachrichtigt und die ZIP-Datei heruntergeladen werden kann.

Während die meisten Malware-as-a-Service (MaaS)-Vorgänge auf Windows-Benutzer abzielen, ist macOS nicht immun gegen solche Bedrohungen. Daher ist es für macOS-Benutzer wichtig, wachsam zu bleiben und die Installation von Dateien von nicht vertrauenswürdigen Websites zu vermeiden. Darüber hinaus sollten Benutzer ihre Betriebssysteme und Sicherheitssoftware auf dem neuesten Stand halten, um sich vor den neuesten Bedrohungen zu schützen.