Rilevamento del Malware macOS MacStealer: Nuovo Ceppo Dannoso Ruba le Credenziali Utente dal Porta Chiavi iCloud
Indice:
Attenzione! Un nuovo infostealer sta facendo scalpore nell’arena delle minacce informatiche prendendo di mira gli utenti macOS. I ricercatori di sicurezza informatica hanno osservato un nuovo malware MacStealer su macOS che ruba le credenziali degli utenti e altri dati sensibili memorizzati nel portachiavi iCloud, nei browser web e nei portafogli di criptovaluta.
Rilevamento del Malware MacStealer MacOS
Essendo un altro malware infostealing emerso nell’arena del crimine informatico nell’ultimo mese, MacStealer guadagna popolarità nei forum sotterranei grazie al suo prezzo relativamente basso e alle ampie capacità dannose. Per migliorare le protezioni di sicurezza contro nuove varianti di malware, gli operatori di sicurezza hanno bisogno di una fonte affidabile di contenuti di rilevamento per individuare possibili attacchi nelle prime fasi di sviluppo.
La piattaforma Detection as Code di SOC Prime offre una regola Sigma dedicata dal nostro esperto sviluppatore di Threat Bounty Mustafa Gurkan KARAKAYA per rilevare possibili infezioni da MacStealer.
Traffico web di esfiltrazione sospetto di MacStealer malware (via proxy)
La regola sopra rileva richieste POST effettuate dal malware MacStealer a percorsi URI noti per essere associati a server di comando e controllo utilizzati da MacStealer per l’esfiltrazione di file zip di dati rubati. Il rilevamento è compatibile con 18 piattaforme SIEM, EDR e XDR ed è associato al framework MITRE ATT&CK® v12 che affronta le tattiche di esfiltrazione, con Esfiltrazione over C2 Channel (T1041) come tecnica principale.
I cacciatori di minacce e gli ingegneri del rilevamento desiderosi di affinare le loro competenze in Sigma e ATT&CK e aiutare gli altri a difendersi dalle minacce emergenti possono accedere al Threat Bounty Programdi SOC Prime. Partecipando a questa iniziativa di crowdsourcing, gli esperti di sicurezza informatica possono scrivere le proprie regole Sigma mappate su ATT&CK, condividerle con la comunità globale dei difensori informatici e ricevere pagamenti ricorrenti per i contributi.
Per raggiungere istantaneamente un insieme di regole Sigma che rilevano le famiglie di malware che rubano informazioni, premi il pulsante Explore Detections qui sotto. Approfondisci il contesto completo delle minacce informatiche, inclusi riferimenti MITRE ATT&CK, intelligence sulle minacce, binari eseguibili e mitigazioni per la ricerca sulle minacce mirate.
Analisi della catena di attacco di MacStealer
I ricercatori di sicurezza osservano un numero crescente di contratti malware-as-a-service (MaaS) basati su questo modello di ricavi, con attori della minaccia che arricchiscono il loro kit di strumenti avversari e migliorano le capacità offensive. Il modello di ricavi MaaS ha acquisito slancio negli ultimi anni, contribuendo alla massiccia distribuzione di diverse varianti di malware, come malware Eternity and RedLine Stealer.
Nel marzo 2023, un altro malware infostealing chiamato MacStealer e diffuso utilizzando il modello MaaS è entrato nell’arena delle minacce informatiche. Il malware macOS MacStealer può acquisire password utente, cookie e dettagli delle carte di credito dai browser Web popolari e dal database Portachiavi iCloud, oltre a estrarre più tipi di file per rubare dati sensibili.
Secondo il rapporto dei ricercatori di sicurezza informatica Uptycs che hanno rivelato la nuova variante di malware, il malware infostealing MacStealer può colpire macOS Catalina e le versioni successive del software che girano su CPU Intel M1 e M2.
Gli attori della minaccia distribuiscono MacStealer tramite un file .dmg. Una volta eseguito, quest’ultimo impiega un falso prompt per la password per raccogliere le credenziali dell’utente sfruttando un’operazione specifica da riga di comando. Non appena la vittima fornisce le proprie credenziali di accesso, MacStealer ruba i dati compromessi e li archivia nella directory di sistema. Dopo aver archiviato i dati utente rubati, il malware li invia al server C2 utilizzando una richiesta POST e successivamente cancella i dati insieme al file ZIP corrispondente. Il server remoto C2 condivide anche il file ZIP con il bot Telegram pre-configurato utilizzato dagli hacker che consente loro di esfiltrare i dati ottenuti dal sistema compromesso.
Con l’aumento dei volumi di varianti di malware distribuite da MaaS che prendono di mira utenti Windows, Linux e macOS, i difensori informatici cercano contenuti di rilevamento pertinenti che possano essere immediatamente disponibili e applicati su più soluzioni di sicurezza aiutando le organizzazioni a superare le sfide di migrazione SIEM. L’approccio agnostico alla piattaforma e multi-cloud di SOC Prime consente ai team di sicurezza di ridurre i tempi di sviluppo e ottimizzare i costi di migrazione sfruttando Uncoder AI, lo strumento assistito dall’IA per l’ingegneria del rilevamento avanzato. Libera il potere dell’IA per scrivere codice di rilevamento impeccabile e convertirlo in oltre 27 soluzioni SIEM, EDR e XDR al volo.
