MacStealer macOS マルウェア検出：新たな悪質な亜種がiCloud KeyChainからユーザー認証情報を盗む

注目！macOSユーザーを標的とする新たな情報窃盗型マルウェアがサイバー脅威分野で注目を浴びています。サイバーセキュリティ研究者は、iCloud KeyChain、ウェブブラウザ、および暗号通貨ウォレットに保存されたユーザーの資格情報やその他の機密データを盗む新しいMacStealer macOSマルウェアを観察しました。

MacStealer MacOSマルウェアの検出

最近の月にサイバー犯罪の領域で浮上した他の情報窃盗型マルウェアの一つとして、MacStealerは比較的低価格と広範な悪意のある機能により地下フォーラムで人気を集めています。新しいマルウェア株に対抗するセキュリティ保護を調整するには、セキュリティ専門家が開発の初期段階で可能性のある攻撃を検出するための信頼性のある検出コンテンツのソースが必要です。

SOC PrimeのDetection as Codeプラットフォームは、我々の熟練したThreat Bounty開発者による専用のSigmaルールを提供しています ムスタファ・グルカン・カラカヤ MacStealer感染の可能性を検出するため。

疑わしいMacStealerマルウェアのデータ流出ウェブトラフィック（プロキシ経由）

上記のルールは、MacStealerマルウェアが盗難データのzipファイルを流出するために使用するC&Cサーバーに関連することが知られているURIパスへのPOSTリクエストを検出します。この検出は18のSIEM、EDR、およびXDRプラットフォームと互換性があり、 MITRE ATT&CK®フレームワーク v12 で、エクスフィルトレーション戦術に対処し、主要な技術としてC2チャネル上でのエクスフィルトレーション（T1041）を使用します。

新たに出現する脅威に対抗するためのSigmaおよびATT&CKスキルを磨き、他者を支援したい脅威ハンターと検出エンジニアは、SOC Primeの Threat Bounty Programを利用できます。このクラウドソーシングの取り組みに参加することで、サイバーセキュリティの専門家は自分エフ SumberdainsのルールをATT&CKにマッピングし、グローバルなサイバー防御コミュニティと共有し、貢献に対する定期的な報酬を受け取ることができます。

情報窃盗型マルウェアファミリーを検出するSigmaルールのセットに即時アクセスするには、以下の Explore Detections ボタンを押してください。包括的なサイバー脅威のコンテキストを掘り下げ、MITRE ATT&CK参照、脅威インテリジェンス、実行可能バイナリ、および迅速な脅威調査のための緩和策を含みます。

Explore Detections

MacStealer攻撃チェイン分析

セキュリティ研究者は、この収益モデルに基づくマルウェアアズアサービス（MaaS）取引の増加を観察しており、脅威アクターは対抗ツールキットを充実させ、攻撃能力を強化しています。MaaS収益モデルは、過去数年間で勢いを増し、異なるマルウェア株の大規模な配信に貢献しており、以下のようなマルウェアの配布が見られます。 エターニティ・マルウェア and レッドライン・ステイラー.

2023年3月に、MacStealerと名付けられた別の情報窃盗型マルウェアが MaaSモデルを用いて サイバー脅威分野に登場しました。MacStealer macOSマルウェアは、人気のウェブブラウザやiCloud KeyChainデータベースからユーザーパスワード、クッキー、クレジットカード情報を取得でき、複数の種類のファイルを抽出して機密データを盗むことができます。

によれば、 Uptycs サイバーセキュリティ研究者 が新たなマルウェア株を明らかにしたことで、MacStealer情報窃盗型マルウェアは macOS CatalinaおよびIntel M1、M2 CPUを搭載した後続のソフトウェアバージョンに影響を与える可能性があります。

脅威アクターは MacStealerを.dmgファイルで配布します。実行されると、不正なパスワードプロンプトを使用して特定のコマンドライン操作を利用しユーザー資格情報を収集します。被害者がログイン資格情報を提供すると、MacStealerはそのデータを盗んでシステムディレクトリに保存します。盗まれたユーザーデータをアーカイブした後、マルウェアはC2サーバーにPOSTリクエストを使用してデータを送信し、後でそのデータをZIPファイルごと削除します。リモートC2サーバーはまた、ハッカーがエクスフィルトレーションを可能にするプリコンフィギュレーションされたTelegramボットにZIPファイルを共有します。

Windows、Linux、および macOSユーザーを狙うMaaSで配布されるマルウェア株が増加する中、サイバー防御者たちは複数のセキュリティソリューションに即座に適用できる関連する検出コンテンツを探しています。SOC Primeのプラットフォームに依存しないマルチクラウドアプローチは、 Uncoder AIを活用して、開発時間を短縮し、移行コストを最適化することによってセキュリティチームをサポートします。AIの力を活用して完璧な検出コードを書き、27以上のSIEM、EDR、XDRソリューションに即座に変換します。