Un nuovo malware chiamato MetaStealer è stato individuato e sta prendendo di mira i sistemi macOS. Creato utilizzando il linguaggio di programmazione Go, questo software malevolo è in grado di rubare una vasta gamma di dati sensibili dalle vittime.
Processo di distribuzione
Secondo i ricercatori di SentinelOne, numerose varianti di questo malware mirano agli utenti business di macOS attraverso tattiche di ingegneria sociale. In questi attacchi, i cybercriminali si fingono clienti nel campo del design e ingannano le vittime affinché eseguano payload malevoli. Le esche utilizzate sono spesso sotto forma di pacchetti di applicazioni malevoli in formato di immagine disco (.dmg) con nomi come “Brief_Presentation-Task_Overview-(SOW)-PlayersClub”, “AnimatedPoster”, “CONCEPT A3 full menu with dishes and translations to English” e “Advertising terms of reference (MacOS presentation)”. In un caso specifico, è stato utilizzato un file di immagine disco chiamato “Contract for payment & confidentiality agreement Lucasprod” per distribuire una versione di MetaStealer. I ricercatori hanno anche notato diversi casi in cui gli aggressori hanno sfruttato nomi di software popolari, come Adobe, per ingannare le vittime e indurle a scaricare il malware.
Specifiche del malware
Il componente principale nei pacchetti MetaStealer è un file Mach-O scritto in linguaggio assembly Intel x86. Questo file contiene codice sorgente Go compilato che è stato deliberatamente offuscato e reso difficile da comprendere. L’ID di costruzione Go è stato rimosso e i nomi delle funzioni sono stati offuscati. Il metodo di offuscamento usato in questo malware è simile alle tecniche utilizzate in altri malware come Sliver e Poseidon. Inoltre, i ricercatori affermano che diverse varianti del malware MetaStealer sono in grado di superare l’antivirus integrato di Apple, XProtect.
MetaStealer e Atomic Stealer: sono simili?
Nonostante entrambi siano infostealer creati con Go e utilizzino osascript per mostrare messaggi di errore all’esecuzione, non esistono molte somiglianze nel codice effettivo utilizzato tra MetaStealer e Atomic Stealer. Inoltre, l’infrastruttura di rete e il metodo di distribuzione delle campagne MetaStealer differiscono notevolmente da quanto osservato in Atomic Stealer.
Conclusione
L’emergere di un altro infostealer per macOS evidenzia la crescente tendenza a prendere di mira gli utenti Mac. Sebbene l’aggiornamento XProtect v2170 di Apple contenga una firma di rilevamento per alcune versioni di MetaStealer, le organizzazioni possono proteggersi contro altre varianti esaminando gli indicatori associati al malware e implementando adeguate soluzioni di sicurezza.
