Un nouveau malware voleur d’informations nommé « MetaStealer » est apparu dans la nature, volant une grande variété d’informations sensibles sur les ordinateurs macOS basés sur Intel.

MetaStealer, à ne pas confondre avec le voleur d’informations « META » qui a connu une certaine popularité l’année dernière, est un malware basé sur Go capable d’échapper à la technologie antivirus intégrée d’Apple, XProtect, ciblant les utilisateurs professionnels.

SentinelOne rapporte qu’il suit le malware depuis quelques mois et constate une implication inhabituelle de l’ingénierie sociale dans sa distribution.

Bien que le malware présente certaines similitudes avec Atomic Stealer, un autre macOS basé sur Go ciblant les voleurs d’informations, le chevauchement du code est limité et les méthodes de livraison sont différentes.

Par conséquent, SentinelOne conclut que MetaStealer est une opération distincte.

Arrivée sur les systèmes macOS
SentinelOne a trouvé un échantillon de malware sur VirusTotal avec un commentaire indiquant que les acteurs de la menace MetaStealer contactent des entreprises et se font passer pour les clients de l’entreprise pour distribuer le malware.

« J’ai été ciblé par quelqu’un se faisant passer pour un client de design et je n’ai pas réalisé que quelque chose sortait de l’ordinaire. L’homme avec qui j’avais négocié au travail la semaine dernière m’a envoyé un fichier zip protégé par mot de passe contenant ce fichier DMG, ce que j’ai trouvé un peu étrange », lit-on dans le commentaire de VirusTotal.

« Contre mon jugement, j’ai monté l’image sur mon ordinateur pour voir son contenu. Elle contenait une application déguisée en PDF, que je n’ai pas ouverte et c’est à ce moment-là que j’ai réalisé qu’il s’agissait d’un escroc. »

Aux e-mails de phishing sont joints des fichiers image disque qui, une fois montés sur le système de fichiers, contiennent des exécutables aux noms trompeurs qui apparaissent sous forme de fichiers PDF pour inciter la victime à les ouvrir.

Fichier image disque

SentinelOne a observé des DMG nommés d’après le travail d’un logiciel ou d’un client Adobe, notamment les suivants :

  • Termes de référence publicitaires (présentation MacOS).dmg
  • CONCEPT A3 menu complet avec plats et traductions en anglais.dmg
  • AnimatedPoster.dmg
  • Brief_Presentation-Task_Overview-(SOW)-PlayersClub.dmg
  • AdobeOfficialBriefDescription.dmg
  • Installateur d’Adobe Photoshop 2023 (avec IA).dmgTermes de référence publicitaire (présentation MacOS).dmg
  • CONCEPT A3 menu complet avec plats et traductions en anglais.dmg
  • AnimatedPoster.dmg
  • Brief_Presentation-Task_Overview-(SOW)-PlayersClub.dmg
  • AdobeOfficialBriefDescription.dmg
  • Installer Adobe Photoshop 2023 (avec IA).dmg

Les bundles d’applications du malware contiennent l’essentiel, à savoir un fichier Info.plist, un dossier Resources avec une image d’icône et un dossier macOS avec l’exécutable malveillant Mach-O.

Aucun des échantillons examinés par SentinelOne n’était signé, malgré certaines versions comportant un identifiant de développeur Apple.

Contenu du pack

Capacités de MetaStealer
MetaStealer tente de voler les informations stockées sur les systèmes compromis, notamment les mots de passe, les fichiers et les données des applications, puis tente de les exfiltrer via TCP sur le port 3000.

Plus précisément, les fonctions des logiciels malveillants permettent d’exfiltrer le trousseau et d’extraire les mots de passe enregistrés, de voler des fichiers du système et de cibler les services Telegram et Meta (Facebook).

Ciblage des services de trousseau, Telegram et Meta

Le trousseau est un système de gestion de mots de passe au niveau du système pour macOS, gérant les informations d’identification des sites Web, des applications, des réseaux WiFi, des certificats, des clés de cryptage, des informations de carte de crédit et même des notes privées.

Par conséquent, l’exfiltration du contenu du trousseau est une fonctionnalité puissante qui pourrait permettre aux attaquants d’accéder à des données sensibles.

Dans sa version actuelle, MetaStealer fonctionne uniquement sur l’architecture Intel x86_64, ce qui signifie qu’il ne peut pas compromettre les systèmes macOS fonctionnant sur des processeurs Apple Silicon (M1, M2), à moins que la victime n’utilise Rosetta pour exécuter le malware.

Cela atténue la menace et la limite à un nombre toujours réduit de victimes potentielles à mesure que les ordinateurs Apple basés sur Intel sont progressivement supprimés.

Cependant, MetaStealer pourrait publier une nouvelle version qui ajoute la prise en charge native d’Apple Silicon, c’est donc une menace à surveiller.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *