Détection de malware MacStealer sur macOS : Une nouvelle souche malveillante vole les identifiants utilisateurs de la iCloud KeyChain
Table des matières :
Attention ! Un nouvel infostealer se démarque dans l’arène des menaces cybernétiques ciblant les utilisateurs macOS. Les chercheurs en cybersécurité ont observé un nouveau malware MacStealer sur macOS qui vole les identifiants des utilisateurs et d’autres données sensibles stockées dans le trousseau iCloud, les navigateurs web et les portefeuilles crypto.
Détection du Malware MacStealer sur macOS
Étant un autre logiciel malveillant voleur d’informations apparaissant dans l’arène des cybercriminels au cours du mois dernier, MacStealer gagne en popularité sur les forums clandestins grâce à son prix relativement bas et à ses vastes capacités malveillantes. Pour ajuster les protections de sécurité contre les nouvelles souches de malware, les praticiens de la sécurité ont besoin d’une source fiable de contenu de détection pour repérer les attaques possibles dès les premières étapes de développement.
La plateforme Detection as Code de SOC Prime propose une règle Sigma dédiée par notre développeur expérimenté Threat Bounty Mustafa Gurkan KARAKAYA pour détecter les infections possibles par MacStealer.
Trafic Web d’exfiltration suspect de Malware MacStealer (via proxy)
La règle ci-dessus détecte les requêtes POST effectuées par le malware MacStealer vers des chemins URI connus pour être associés aux serveurs de Commande et Contrôle utilisés par MacStealer pour l’exfiltration de fichiers zip de données volées. La détection est compatible avec 18 plates-formes SIEM, EDR, et XDR et est mappée au cadre MITRE ATT&CK® v12 abordant les tactiques d’Exfiltration, avec l’Exfiltration sur le canal C2 (T1041) comme technique principale.
Les chasseurs de menaces et les ingénieurs de détection désireux d’affiner leurs compétences Sigma et ATT&CK et d’aider les autres à se défendre contre les menaces émergentes peuvent se tourner vers le Programme de Threat Bounty de SOC Prime. En rejoignant cette initiative de crowdsourcing, les experts en cybersécurité peuvent écrire leurs propres règles Sigma mappées à ATT&CK, les partager avec la communauté mondiale de défenseurs cybernétiques et recevoir des paiements récurrents pour leurs contributions.
Pour accéder instantanément à un ensemble de règles Sigma détectant les familles de logiciels malveillants voleurs d’informations, cliquez sur le bouton Exploration des Détections ci-dessous. Approfondissez le contexte complet des menaces cybernétiques, y compris les références MITRE ATT&CK, le renseignement sur les menaces, les binaires exécutables, et les atténuations pour une recherche de menaces rationalisée.
Analyse de la chaîne d’attaque MacStealer
Les chercheurs en sécurité observent un nombre croissant d’accords de malware-as-a-service (MaaS) basés sur ce modèle de revenus, avec des acteurs malveillants enrichissant leur boîte à outils adversaire et améliorant les capacités offensives. Le modèle de revenus MaaS a pris de l’ampleur au cours des dernières années, contribuant à la distribution massive de différentes souches de logiciels malveillants, comme le malware Eternity and RedLine Stealer.
En mars 2023, un autre malware voleur d’informations nommé MacStealer et diffusé en utilisant le modèle MaaS est apparu dans l’arène des menaces cybernétiques. Le malware MacStealer sur macOS peut capturer les mots de passe, cookies et informations de carte de crédit des utilisateurs à partir des navigateurs web populaires et de la base de données du trousseau iCloud, ainsi qu’extraire plusieurs types de fichiers pour voler des données sensibles.
Selon le rapport par les chercheurs en cybersécurité de Uptycs qui ont révélé cette nouvelle souche de malware, le logiciel malveillant voleur d’informations MacStealer peut affecter macOS Catalina et les versions logicielles successives fonctionnant sur les processeurs Intel M1 et M2.
Les acteurs de menace distribuent MacStealer via un fichier .dmg. Une fois exécuté, celui-ci applique une invite de mot de passe frauduleuse pour collecter les identifiants d’utilisateur en utilisant une opération en ligne de commande spécifique. Dès que la victime fournit ses identifiants de connexion, MacStealer vole les données compromises et les stocke dans le répertoire système. Après avoir archivé les données utilisateur volées, le malware les envoie au serveur C2 en utilisant une requête POST puis supprime les données ainsi que le fichier ZIP correspondant. Le serveur C2 distant partage également le fichier ZIP avec le bot Telegram pré-configuré utilisé par les hackers, leur permettant d’exfiltrer les données récupérées du système compromis.
Avec l’augmentation des volumes de souches de logiciels malveillants distribués par MaaS ciblant les utilisateurs de Windows, Linux et macOS, les défenseurs cybernétiques recherchent un contenu de détection pertinent qui peut être instantanément disponible et appliqué sur plusieurs solutions de sécurité, aidant les organisations à surmonter les défis de migration SIEM. L’approche neutre envers les plateformes et multi-cloud de SOC Prime permet aux équipes de sécurité de réduire le temps de développement et d’optimiser les coûts de migration en utilisant Uncoder AI, l’outil assisté par l’IA pour l’ingénierie avancée de la détection. Libérez la puissance de l’IA pour écrire un code de détection parfait et le convertir à la volée pour plus de 27 solutions SIEM, EDR et XDR.
