MetaStealer, eine neue Malware, die Informationen stiehlt, hat sich als Bedrohung für Apple macOS-Systeme herausgestellt. Dies ergänzt die wachsende Liste von Stealer-Familien, darunter Stealer, Pureland, Atomic Stealer und Realst, die sich auf das macOS-Betriebssystem konzentriert haben. Bei diesem jüngsten Angriff geben sich Bedrohungsakteure als Fake-Clients aus, um Opfer durch Social-Engineering dazu zu bringen, bösartige Payloads zu starten.

MetaStealer wird in Form betrügerischer Anwendungspakete im Disk-Image-Format (DMG) verbreitet. Die Angreifer nähern sich ihren Zielen, indem sie ein passwortgeschütztes ZIP-Archiv mit der DMG-Datei teilen. In früheren Fällen wurde die Malware als Adobe-Dateien oder Installationsprogramme für Adobe Photoshop getarnt. Es gibt Hinweise darauf, dass MetaStealer-Artefakte seit März 2023 in freier Wildbahn vorhanden sind, wobei das neueste Beispiel am 27. August 2023 auf VirusTotal hochgeladen wurde.

Was MetaStealer auszeichnet, ist sein Fokus auf die Ausrichtung auf Geschäftsanwender. Typischerweise wird macOS-Malware über Torrent-Seiten oder verdächtige Drittanbieter von Software verbreitet, die gecrackte Versionen beliebter Software anbieten. MetaStealer richtet sich jedoch speziell an Geschäftsanwender und zielt darauf ab, Daten aus dem iCloud-Schlüsselbund, gespeicherten Passwörtern und Dateien auf kompromittierten Hosts zu sammeln. Es wurde auch beobachtet, dass einige Versionen der Malware auf Dienste wie Telegram und Meta abzielen.

Das Aufkommen von MetaStealer unterstreicht den zunehmenden Trend, dass Bedrohungsakteure Mac-Benutzer wegen ihrer Daten ins Visier nehmen. Sein Ziel, wertvolle Schlüsselbund- und andere Informationen von Geschäftsanwendern zu extrahieren, verdeutlicht das Potenzial für weitere cyberkriminelle Aktivitäten oder den Zugriff auf größere Unternehmensnetzwerke. Es ist unklar, ob MetaStealer das Werk derselben Autoren ist, die auch hinter anderen Stealer-Familien stehen, oder das Ergebnis verschiedener Gruppen von Bedrohungsakteuren.

Um über die neuesten Nachrichten zur Cybersicherheit und exklusive Inhalte auf dem Laufenden zu bleiben, folgen Sie uns auf Twitter und LinkedIn.

Quellen:

– SentinelOne: Analyse von Phil Stokes