最新一款針對Mac使用者的資訊竊取惡意軟體MetaStealer已經現身,攻擊者專門瞄準企業用戶。這種惡意軟體通常偽裝成Adobe應用程式或檔案,或者隱藏在一般的檔案文件之中。SentinelOne的研究人員表示,目前發現的MetaStealer樣本多數都是隱藏在使用.dmg副檔名的檔案之中,這種直接挑明了針對macOS的惡意軟體是相當罕見的,因此也被猜測可能有要針對某些特定的企業用戶。
MetaStealer專為搭載Apple M1和M2處理器的Mac設計,其代碼經過重重隱藏跟混淆,企圖令人看不清他的用意為何。儘管如此,研究人員還是發現到MetaStealer能夠竊取已保存的密碼、iCloud鑰匙圈的功能、以及多數的文件檔案,甚至有些變種是專門瞄準Telegram和Meta應用程序。
MetaStealer首次於2023年3月被發現,此後不斷更新、進化、並發展不同變種。最近,蘋果公司已將該惡意軟體增加到macOS的XProtect防惡意軟體系統中。儘管一些版本中嵌入了蘋果開發者代碼簽名,但多數樣本未使用簽名,這代表攻擊者會透過各種方式來引導受害者進行一系列操作,藉以繞過Gatekeeper等保護機制。
MetaStealer並非首款針對Mac使用者的資訊竊取惡意軟體,研究單位還發現了一款稱為Atomic Stealer的惡意軟體,與MetaStealer相同,是針對macOS的使用者所設計,但目前為止尚不清楚兩者之間是否有任何關聯。MetaStealer等惡意軟體的出現,代表惡意軟體作者正積極瞄準MacOS的使用者,特別是那些慣以macOS進行日常作業的企業用戶,藉此竊取更多機敏資訊。
這一趨勢令安全人員感到擔憂,當這些惡意軟體開始橫跨到不同系統並且積極開發之時,意味著針對不同作業系統的設備都需要有相應的解決方案,這使得原先就已捉襟見肘的資安預算更加顯得不足。
更多關於針對macOS惡意軟體之消息:
LockBit 勒索軟體組織轉向以mac電腦為目標?!專家發現首款針對macOS 機器的 LockBit 加密工具!
https://blog.billows.com.tw/?p=2593
中國APT駭客Storm Cloud利用惡意軟體GIMMICK針對macOS用戶
MetaStealer的部分入侵指標(Indicator of compromise -IOCs):
SHA256 ef0dd9ee92148dfc1d731d42812688f28dd276c2307ac8674a216a2371d156cd
SHA256 8dd5bcc737e7b4bf98db09b082c34469b7095da3a4d314b1ca9b43316340da20
SHA256 7344c02c3c366be28df78afb2df87a02a96f82d6fce1df8604067dcb02363dc8
SHA256 50427037543eb5d8be12940c8fac6b4710e15125ee2b77b0743b017eafd8af9f
SHA256 3725b015c4d5e5632e2ab87327f5f20733fc5d821ce500725b6d6c84694de670
SHA256 2d70d5965f201d97f4a763e95c7074dfd7ddbf9b7118e79ebf79c13235e1d821