Investigadores de SentinelOne prevenido sobre el descubrimiento del malware MetaStealer, que roba información confidencial de computadoras que ejecutan macOS basado en procesadores Intel.
MetaStealer es un malware dirigido a usuarios empresariales. Está escrito en Go y puede eludir la protección XProtect de Apple. Aunque MetaStealer es algo similar al descubierto en la primavera de este año Ladrón atómicoLos investigadores dicen que la similitud del código fuente es muy limitada y que los métodos de entrega del malware también tendrán un impacto significativo. Es decir, MetaStealer, que se basa principalmente en ingeniería social, es muy probablemente una operación maliciosa en sí misma.
SentinelOne descubrió una muestra de malware en VirusTotal y estaba acompañada de un comentario advirtiendo que los operadores de MetaStealer estaban contactando a empresas que se hacían pasar por sus clientes para difundir la amenaza.
“Fui atacado por una persona que se hacía pasar por cliente del diseñador y no me di cuenta de que estaba pasando algo inusual. Una persona con la que hablé por trabajo la semana pasada me envió un archivo ZIP protegido con contraseña que contenía este archivo DMG, lo que me pareció un poco extraño, escribe la víctima en VirusTotal. — En contra de mi buen juicio, monté la imagen en mi computadora para ver su contenido. Contenía un archivo adjunto disfrazado de PDF, que no abrí y sólo entonces me di cuenta de que se trataba de un estafador”.
Normalmente, los operadores de MetaStealer adjuntan archivos de imagen (DMG) a correos electrónicos de phishing que contienen archivos ejecutables con nombres señuelo (disfrazados de archivos PDF) para engañar a la víctima para que los abra. Muchos de los archivos DMG examinados por SentinelOne tenían nombres relacionados con productos de Adobe o trabajos de clientes.
Los paquetes de la aplicación contenían todo lo esencial: un archivo Info.plist, una carpeta de Recursos con una imagen de icono y una carpeta macOS con un archivo ejecutable Mach-O malicioso. Sin embargo, ninguna de las muestras de malware estudiadas estaba firmada, aunque algunas versiones tenían un ID de desarrollador de Apple.
Una vez dentro del sistema de la víctima, MetaStealer intenta robar información, incluidas contraseñas, archivos y datos de aplicaciones, y luego intenta transmitirla a sus operadores a través de TCP en el puerto 3000.
Por ejemplo, el malware es capaz de penetrar en Keychain y extraer contraseñas guardadas, robar archivos del sistema y también atacar Telegram y Meta*.
Por ahora, MetaStealer solo funciona en la arquitectura Intel x86_64, lo que significa que no puede comprometer los sistemas que se ejecutan en procesadores Apple Silicon (M1, M2), a menos que la víctima use Rosetta para ejecutar malware. Sin embargo, los expertos no descartan que en el futuro MetaStealer pueda obtener una versión que agregue soporte integrado para Apple Silicon.
* Las actividades de las MetaPlataformas son reconocidas como extremistas y prohibidas en Rusia.
2023-09-13 18:00:10
#malware #MetaStealer #apunta #usuarios #macOS #Hacker,
