Miolab-Dieb
Miolab, auch bekannt als Nova, ist ein hochentwickelter Datendiebstahl, der speziell für macOS-Nutzer entwickelt wurde. Er wird über Hackerforen im Rahmen des Malware-as-a-Service-Modells (MaaS) verbreitet und ermöglicht Cyberkriminellen den Zugriff auf ein leistungsstarkes Werkzeugset ohne tiefgreifende technische Kenntnisse. Die Malware kann sensible Daten aus Erweiterungen von Kryptowährungs-Wallets, Webbrowsern und verschiedenen Verwaltungsanwendungen extrahieren und zudem Dateien direkt von kompromittierten Systemen stehlen. Eine sofortige Entfernung nach der Entdeckung ist entscheidend, um den Schaden zu minimieren.
Inhaltsverzeichnis
Auf Effizienz ausgelegt, auf Ausweichen gebaut
Miolab ist kein einfacher Stealer; es integriert ein zentrales Kontrollpanel und Tools zur Angriffsverwaltung, die das Bedrohungsniveau deutlich erhöhen. Diese Infrastruktur ermöglicht es selbst unerfahrenen Angreifern, komplexe Kampagnen durchzuführen. Die schlanke und optimierte Architektur fördert die Verbreitung, gewährleistet eine gleichbleibende Leistung in verschiedenen macOS-Umgebungen und hilft, herkömmliche Erkennungsmechanismen zu umgehen.
Kommando und Kontrolle: Vereinfachtes Angriffsmanagement
Das integrierte Kontrollfeld bietet Angreifern eine strukturierte Übersicht über kompromittierte Opfer, einschließlich geografischer Daten und gesammelter Informationen. Es ermöglicht zudem die Wiederverwendung gestohlener Google-Authentifizierungssitzungen und damit den unbefugten Zugriff auf Konten, ohne dass Passwörter erforderlich sind oder die Zwei-Faktor-Authentifizierung direkt umgangen wird.
Darüber hinaus unterstützt Miolab die Verbreitung schädlicher Seiten und Angriffsmethoden im ClickFix-Stil. Betreiber profitieren von Echtzeitbenachrichtigungen via Telegram und können verschiedene Phasen ihrer Kampagnen automatisieren, wodurch die operative Effizienz und der Umfang gesteigert werden.
Browser- und Kryptowährungsdatenextraktionsfunktionen
Miolab zielt aggressiv auf im Browser gespeicherte Daten ab und extrahiert Anmeldeinformationen und sitzungsbezogene Daten, die für weitere Sicherheitslücken missbraucht werden können. Die Angriffe erstrecken sich sowohl auf gängige als auch auf Nischenbrowser und vergrößern so das Angriffsfeld erheblich.
- Zu den erfassten sensiblen Browserdaten gehören gespeicherte Passwörter, Cookies, Browserverlauf und Autofill-Daten wie E-Mail-Adressen und Adressen.
- Auch Authentifizierungsartefakte wie Google-Token und Safari-Cookies werden erfasst.
Zu den betroffenen Browsern gehören Chrome, Edge, Firefox, Arc, Brave, Librewolf, Opera, Opera GX, SeaMonkey, Tor Browser, Vivaldi, Waterfox, Yandex und Coc Coc. - Neben Browsern konzentriert sich Miolab vor allem auf Kryptowährungen, indem es Dateien wie .dat, .key und .keys aus über 200 Wallet-Erweiterungen extrahiert. Zudem zielt es auf Anwendungen zur Verwaltung von Hardware-Wallets ab und ermöglicht so den Diebstahl wichtiger Wiederherstellungsdaten.
- Zu den unterstützten Krypto-Tools gehören Atomic Wallet, Binance, Bitcoin, DashCore, Dogecoin, Electrum, Exodus, Guarda, Litecoin, Monero, Tonkeeper und Wasabi Wallet.
- Anwendungen wie Ledger Live, Ledger Wallet und Trezor Suite sind speziell für die Extraktion der 24-Wort-Wiederherstellungsphrase ausgelegt.
Jenseits von Browsern: Messaging und lokale Datennutzung
Die Schadsoftware dringt in Kommunikations- und Produktivitätsanwendungen ein. Sie kann aktive Sitzungen auf Plattformen wie Telegram und Discord übernehmen und Angreifern so ohne Zugangsdaten Zugriff auf die Konten gewähren. Außerdem durchsucht sie Apple Notes, einen häufig genutzten Ort, an dem Nutzer unabsichtlich sensible Informationen wie Passwörter oder Wiederherstellungsphrasen für Kryptowährungen speichern.
Sobald die Datenerfassung abgeschlossen ist, komprimiert Miolab die gestohlenen Informationen in ein ZIP-Archiv und exfiltriert sie per HTTP. Um die Aktivitäten zu verschleiern, wird eine irreführende macOS-Fehlermeldung angezeigt, die vorgibt, dass die Anwendung nicht ausgeführt werden kann.
Auswirkungen: Die wahren Kosten einer Infektion
Eine Miolab-Infektion kann schwerwiegende Folgen haben. Betroffene können finanzielle Verluste durch gestohlene Kryptowährung, unbefugten Kontozugriff, Identitätsdiebstahl, Rufschädigung und die Möglichkeit weiterer Malware-Infektionen aufgrund der ursprünglichen Kompromittierung erleiden.
Infektionskette: Soziale Manipulation in ihrer reinsten Form
Miolab setzt stark auf Täuschung, um in Systeme einzudringen. Cyberkriminelle verbreiten die Schadsoftware über gefälschte macOS-Anwendungen, die als Disk-Image-Dateien (.DMG) verpackt und sorgfältig so gestaltet sind, dass sie legitimer Software ähneln. Diese Installationsdateien verfügen oft über überzeugende Markenlogos, Symbole und Benutzeroberflächen, um die Glaubwürdigkeit zu erhöhen.
Nach der Ausführung startet die Schadsoftware einen mehrstufigen Infektionsprozess. Sie zeigt eine gefälschte Installationsoberfläche an, die Benutzer dazu auffordert, Sicherheitswarnungen durch Rechtsklick und Auswahl von „Öffnen“ zu ignorieren. Anschließend versucht sie, die Terminal-Anwendung zu beenden, um die Nachverfolgbarkeit ihrer Aktionen zu verschleiern. Eine gefälschte macOS-Passwortabfrage wird angezeigt, um Benutzer zur Eingabe ihrer Systemanmeldeinformationen zu verleiten.
Nach der Passwortvalidierung sammelt Miolab Systeminformationen, darunter Hardware-Spezifikationen und Softwarekonfigurationen. Anschließend durchsucht es wichtige Verzeichnisse wie Desktop, Dokumente und Downloads und zielt dabei auf Dateien wie Dokumente, Tabellenkalkulationen, PDFs und passwortbezogene Daten ab. Währenddessen können Benutzer auf Berechtigungsanfragen stoßen, während die Schadsoftware die gesammelten Daten unbemerkt sammelt und für den Datenabfluss vorbereitet.
