Un nouveau malware voleur d’informations a jeté son dévolu sur le système d’exploitation macOS d’Apple pour siphonner les informations sensibles des appareils compromis.

Surnommé MacStealer, c’est le dernier exemple d’une menace qui utilise Telegram comme plate-forme de commande et de contrôle (C2) pour exfiltrer des données. Cela affecte principalement les appareils exécutant les versions macOS Catalina et ultérieures exécutées sur les processeurs M1 et M2.

« MacStealer a la capacité de voler des documents, des cookies du navigateur de la victime et des informations de connexion », ont déclaré les chercheurs d’Uptycs Shilpesh Trivedi et Pratik Jeware dans un nouveau rapport.

D’abord annoncé sur les forums de piratage en ligne au début du mois, il s’agit toujours d’un travail en cours, les auteurs de logiciels malveillants prévoyant d’ajouter des fonctionnalités pour capturer les données du navigateur Safari d’Apple et de l’application Notes.

Dans sa forme actuelle, MacStealer est conçu pour extraire les données, les mots de passe et les informations de carte de crédit d’iCloud Keychain à partir de navigateurs tels que Google Chrome, Mozilla Firefox et Brave. Il prend également en charge la collecte de fichiers, d’images, d’archives et de scripts Python Microsoft Office.

La méthode exacte utilisée pour livrer le logiciel malveillant n’est pas connue, mais il se propage sous la forme d’un fichier DMG (weed.dmg) qui, lorsqu’il est exécuté, ouvre une fausse invite de mot de passe pour récolter les mots de passe sous prétexte de rechercher l’accès à l’application Paramètres système. .

MacStealer est l’un des nombreux voleurs d’informations qui ont fait surface au cours des derniers mois et s’ajoute à un déjà grand nombre d’outils similaires actuellement dans la nature.

Cela inclut également un autre nouveau malware basé sur C# appelé HookSpoofer qui est inspiré de StormKitty et est livré avec des capacités d’enregistrement de frappe et de clipper et transmet les données volées à un bot Telegram.

Ducktail est un autre logiciel malveillant de vol de cookies de navigateur, qui utilise également un bot Telegram pour exfiltrer les données et est réapparu à la mi-février 2023 avec des tactiques améliorées pour contourner la détection.

Cela implique « de changer l’infection initiale d’une archive contenant un exécutable malveillant à une archive contenant un fichier LNK malveillant qui déclencherait la chaîne d’infection », a déclaré Simon Kenin, chercheur à Deep Instinct, plus tôt ce mois-ci.

Les logiciels malveillants Stealer se propagent généralement par différents canaux, notamment les pièces jointes aux e-mails, les téléchargements de logiciels fictifs et d’autres techniques d’ingénierie sociale.

Pour atténuer ces menaces, il est recommandé aux utilisateurs de maintenir leur système d’exploitation et leur logiciel de sécurité à jour et d’éviter de télécharger des fichiers ou de cliquer sur des liens provenant de sources inconnues.

« Alors que les Mac sont devenus de plus en plus populaires dans l’entreprise parmi les équipes de direction et de développement, plus les données qui y sont stockées sont importantes pour les attaquants », a déclaré Phil Stokes, chercheur chez SentinelOne, la semaine dernière.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *