Sommario
SentinelOne riferisce di aver rilevato un nuovo malware per il furto di informazioni denominato “MetaStealer“. Il malware negli ultimi due mesi distribuito tramite tecniche d’ingegneria sociale, avrebbe rubato un’ampia varietà di informazioni sensibili dai computer macOS basati su processore Intel.
MetaStealer
MetaStealer è un malware basato su Go (fortemente offuscato) in grado di eludere la tecnologia antivirus integrata Apple XProtect, prendendo di mira gli utenti aziendali. Sebbene il malware presenti alcune somiglianze con Atomic Stealer, anch’esso basato su Go per macOS, SentinelOne ritiene che MetaStealer avendo del codice e metodi di distribuzione diversi appartenga ad un ceppo differente.
“Questo specifico targeting degli utenti aziendali è alquanto insolito per il malware macOS, che si trova più comunemente distribuito tramite siti torrent o distributori sospetti di software di terze parti come versioni craccate di software aziendali, di produttività o altri software popolari.”, commenta il Threat Researcher Phil Stokes.
MetaStealer secondo l’analisi tenta di rubare le informazioni archiviate sui sistemi compromessi esfiltrandole tramite protocollo TCP. In particolare, le funzioni del malware consentirebbero di carpire password, file di sistema e dati, prendendo di mira anche eventuali servizi Telegram e Meta in esecuzione sul target.
La campagna di distribuzione
In allegato a delle e-mail di phishing verrebbero proposti de file immagine disco (.DMG) che, una volta montati sul file system, contengono eseguibili camuffati da file PDF e con nomi falsi per indurre le vittime all’apertura.
Si legge inoltre sul rapporto che molti di questi file immagini disco rilevati, conterrebbero nomi che includono termini che portano ragionevolmente a pensare che si tratti di esche rivolte agli utenti aziendali macOS come uno dei campioni che si trovano caricati su Virustotal da questa estate.
“Le applicazioni all’interno delle immagini disco MetaStealer contengono il minimo richiesto per formare un pacchetto macOS valido, vale a dire un file Info.plist, una cartella Risorse contenente un’immagine di un’icona [.png] e una cartella MacOS contenente l’eseguibile dannoso.”, spiega l’esperto, specificando inoltre che nonostante alcune versioni presentassero un “Apple Developer ID” nessuno dei campioni esaminati da SentinelOne è risultato firmato. “Ciò significa che per ottenere l’esecuzione, l’autore della minaccia dovrebbe probabilmente guidare o persuadere la vittima a ignorare protezioni come Gatekeeper e OCSP“.
Una minaccia a cui prestare attenzione
Sebbene nella sua versione attuale, MetaStealer funzioni solo su architettura Intel x86_64, il che significa un numero sempre minore di potenziali vittime poiché i computer Apple basati su Intel stanno per essere gradualmente eliminati. Tuttavia, gli sviluppatori di MetaStealer potrebbero rilasciare ben presto una nuova versione che funzioni anche su processori nativi Apple Silicon (M1, M2).
“La comparsa quest’anno di un altro infostealer per macOS dimostra che la tendenza a prendere di mira gli utenti Mac per i loro dati continua ad aumentare in popolarità tra gli autori delle minacce.”, conclude Stokes. Pertanto si consiglia a tutti gli utenti Mac di dotarsi sempre di una soluzione di protezione adeguata e ai team di sicurezza di implementare gli IoC pubblicati da SentinelOne.
.
