Detecção de Malware MacStealer no macOS: Nova Cepa Maliciosa Rouba Credenciais de Usuários do iCloud KeyChain
Índice:
Atenção! Um novo infostealer está chamando a atenção no cenário de ameaças cibernéticas, visando usuários de macOS. Pesquisadores de cibersegurança observaram um novo malware MacStealer para macOS que rouba credenciais de usuário e outros dados sensíveis armazenados no iCloud KeyChain, navegadores da web e carteiras de criptomoedas.
Detectando Malware MacStealer para MacOS
Sendo mais um malware de roubo de informações surgindo no cenário cibercriminoso no último mês, o MacStealer ganha popularidade nos fóruns subterrâneos devido ao seu preço relativamente baixo e amplas capacidades maliciosas. Para melhorar as proteções de segurança contra novas cepas de malware, os profissionais de segurança precisam de uma fonte confiável de conteúdo de detecção para identificar possíveis ataques nas etapas mais iniciais de desenvolvimento.
A plataforma Detection as Code da SOC Prime oferece uma regra Sigma dedicada por nosso experiente desenvolvedor Threat Bounty Mustafa Gurkan KARAKAYA para detectar possíveis infecções do MacStealer.
Tráfego Web de Exfiltração de Malware MacStealer Suspeito (via proxy)
A regra acima detecta solicitações POST feitas pelo malware MacStealer para caminhos URI conhecidos por estarem associados a servidores de Comando e Controle utilizados pelo MacStealer para a exfiltração de arquivos zip de dados roubados. A detecção é compatível com 18 plataformas de SIEM, EDR e XDR e mapeada para MITRE ATT&CK® framework v12 abordando táticas de Exfiltração, com Exfiltração Sobre Canal de C2 (T1041) como técnica principal.
Caçadores de Ameaças e Engenheiros de Detecção ansiosos para aprimorar suas habilidades em Sigma e ATT&CK e ajudar outros a se defenderem contra ameaças emergentes podem acessar a SOC Prime Threat Bounty Program. Ao aderir a esta iniciativa de crowdsourcing, especialistas em cibersegurança podem escrever suas próprias regras Sigma mapeadas para o ATT&CK, compartilhá-las com a comunidade global de defensores cibernéticos e receber pagamentos recorrentes por contribuições.
Para acessar instantaneamente um conjunto de regras Sigma que detectam famílias de malware de roubo de informações, clique no Explore Detections botão abaixo. Explore o contexto abrangente de ameaças cibernéticas, incluindo referências do MITRE ATT&CK, inteligência de ameaças, binários executáveis e medidas de mitigação para uma pesquisa de ameaças simplificada.
Análise da Cadeia de Ataques do MacStealer
Pesquisadores de segurança observam um número crescente de acordos de malware-como-serviço (MaaS) baseados neste modelo de receita, com atores de ameaça enriquecendo seu kit de ferramentas de adversários e aprimorando capacidades ofensivas. O modelo de receita MaaS ganhou impulso nos últimos anos, contribuindo para a distribuição massiva de diferentes cepas de malware, como malware Eternity and RedLine Stealer.
Em março de 2023, outro malware de roubo de informações apelidado de MacStealer e disseminado usando o modelo MaaS chegou ao cenário de ameaças cibernéticas. O malware MacStealer para macOS pode capturar senhas de usuários, cookies e detalhes de cartão de crédito de navegadores da web populares e do banco de dados iCloud KeyChain, além de extrair múltiplos tipos de arquivos para roubar dados sensíveis.
De acordo com o relatório de pesquisadores de cibersegurança da Uptycs que revelaram a nova cepa de malware, o malware de roubo de informações MacStealer pode afetar o macOS Catalina e as versões de software sucessivas que rodam em CPUs Intel M1 e M2.
Os agentes de ameaça distribuem o MacStealer via um arquivo .dmg. Uma vez executado, o último aplica um prompt de senha fraudulento para coletar credenciais de usuário por meio de uma operação específica de linha de comando. Assim que a vítima fornece suas credenciais de login, o MacStealer rouba os dados comprometidos e os armazena no diretório do sistema. Após arquivar os dados de usuário roubados, o malware os envia para o servidor C2 usando uma solicitação POST e em seguida remove os dados junto com o respectivo arquivo ZIP. O servidor remoto de C2 também compartilha o arquivo ZIP com o bot Telegram pré-configurado usado por hackers, permitindo-lhes exfiltrar os dados obtidos do sistema comprometido.
Com os crescentes volumes de cepas de malware distribuídas via MaaS visando usuários de Windows, Linux e macOS, os defensores cibernéticos estão em busca de conteúdo de detecção relevante que possa estar instantaneamente disponível e ser aplicado em várias soluções de segurança, ajudando as organizações a superar os desafios de migração de SIEM. A abordagem agnóstica à plataforma e multinuvem da SOC Prime permite que as equipes de segurança reduzam o tempo de desenvolvimento e otimizem custos de migração usando Uncoder AI, a ferramenta assistida por IA para engenharia de detecção avançada. Liberte o poder da IA para escrever código de detecção impecável e convertê-lo em mais de 27 soluções de SIEM, EDR e XDR instantaneamente.
