Ένα νέο κακόβουλο λογισμικό, με το όνομα MacStealer, βρέθηκε ότι μολύνει Intel και Apple Silicon Mac και κλέβει κωδικούς πρόσβασης, πληροφορίες πιστωτικών καρτών και άλλα προσωπικά δεδομένα.
Μια τριάδα οικογενειών κακόβουλου λογισμικού που βασίζονται σε Windows αποκαλύφθηκε από τους ερευνητές ασφαλείας της Uptycs που εκμεταλλεύονται την υπηρεσία ανταλλαγής μηνυμάτων Telegram. Τώρα, η ομάδα βρήκε μια έκδοση συγκεκριμένη για χρήστες Mac.
Αναφέρεται ως MacStealer, το κακόβουλο λογισμικό έχει τη δυνατότητα να λαμβάνει έγγραφα, cookie προγράμματος περιήγησης και πληροφορίες σύνδεσης από έναν Mac-στόχο. Λειτουργεί επίσης ειδικά σε Mac που διαθέτουν macOS Catalina ή μεταγενέστερη έκδοση, με τσιπ Intel ή Apple Silicon.
Ως μέρος της κλοπής, το λογισμικό λαμβάνει διαπιστευτήρια και cookies από τα προγράμματα περιήγησης Firefox, Google Chrome και Brave και εξάγει επίσης τη βάση δεδομένων του Keychain. Προσπαθεί επίσης να εξασφαλίσει μια ποικιλία τύπων αρχείων, συμπεριλαμβανομένων MP3, αρχείων κειμένου, PDF, αρχείων PowerPoint, φωτογραφιών και βάσεων δεδομένων.
Ενώ η κλοπή του Keychain μπορεί να φαίνεται μεγάλος κίνδυνος για τους χρήστες, η επίθεση περιλαμβάνει την ολότητα του Keychain, χωρίς πρόσβαση στα δεδομένα που περιέχει. Η βάση δεδομένων λαμβάνεται και μεταδίδεται στον εισβολέα από το Telegram, αλλά εξακολουθεί να είναι κρυπτογραφημένη.
Ο άγνωστος που πωλεί πρόσβαση στο MacStealer για $100 ανά κατασκευή λέει ότι το εξαγόμενο Keychain είναι “σχεδόν αδύνατο” στο ν αποκτήσει πρόσβαση κάποιος χωρίς τον κύριο κωδικό πρόσβασης. Ως μέρος της απόπειρας πώλησης, το άτομο αυτό λέει ότι δεν “θέλουν να δίνουν ψεύτικες υποσχέσεις” για πρόσβαση σε αυτά τα δεδομένα και δεν το έχουν συμπεριλάβει σε μια λίστα με “επικείμενες” λειτουργίες.
Δεν είναι σαφές πώς ακριβώς κινείται το κακόβουλο λογισμικό μεταξύ Mac, αλλά οι αρχικές μολύνσεις έχουν προκληθεί από μια εφαρμογή που ονομάζεται “weed.dmg”. Όπως θα περίμενε κανείς, μοιάζει με εκτελέσιμο αρχείο με ένα φύλλο ως εικονίδιο.
Η προσπάθεια ανοίγματος του αρχείου δημιουργεί ένα ψεύτικο μήνυμα κωδικού πρόσβασης για macOS, το οποίο στη συνέχεια χρησιμοποιεί το εργαλείο για πρόσβαση σε άλλα αρχεία του συστήματος.
Το μήνυμα προτροπής κωδικού πρόσβασης που χρησιμοποιείται από το λογισμικό είναι σαφώς διαφορετικό από αυτό που παρέχει στους χρήστες το macOS, επομένως θα πρέπει να είναι αρκετά εύκολο για έναν έμπειρο χρήστη Mac να εντοπίσει κάτι λάθος. Μια μεγάλη ένδειξη είναι ότι δεν περιλαμβάνει ένα ήδη συμπληρωμένο πεδίο ονόματος χρήστη.
Ακολουθήστε το AppleWorldHellas στο Google News για να ενημερώνεστε άμεσα για όλα τα νέα άρθρα! Όσοι χρησιμοποιείτε υπηρεσία RSS (π.χ. Feedly), μπορείτε να προσθέσετε το AppleWorldHellas στη λίστα σας με αντιγραφή και επικόλληση της διεύθυνσης https://appleworldhellas.com/feed. Ακολουθήστε επίσης το AppleWorldHellas.com σε Facebook, Twitter, Instagram, και YouTube