freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

macOS 平台新出现的信息窃密软件:MacStealer
2023-04-06 15:10:24
所属地 北京

现如今,越来越多的攻击者开始使用 Telegram 作为 C&C 信道,例如 Titan Stealer、Parallax RAT 与 HookSpoofer。

近日研究人员发现了一个新的信息窃密软件,也是通过 Telegram 进行控制的,将其命名为 MacStealer。MacStealer 可以通过受害者的浏览器提取 Cookie、登录信息与各种文档文件,会影响 Catalina 与后续基于 M1、M2 芯片的 macOS 系统。

image.png-229.5kB暗网中的广告

MacStealer 的功能

MacStealer 主要支持以下功能:

  • 从 Firefox、Google Chrome 和 Brave 浏览器中收集密码、Cookie 与银行卡信息
  • 获取指定类型的文件(".txt", ".doc", ".docx", ".pdf", ".xls", ".xlsx", ".ppt", ".pptx", ".jpg", ".png", ".csv", ".bmp", ".mp3", ".zip", ".rar", ".py", ".db")
  • 获取 KeyChain 数据库

image.png-63.4kB一百美元的价格进行出售

攻击链

MacStealer 的感染过程如下所示:

image.png-270.3kBMacStealer 感染行为

技术分析

样本文件并没有经过数字签名:

image.png-121kB没有数字签名的文件

该 Mach-O 文件是从 Python 代码编译而来的:

image.png-20.5kBPython 库依赖

image.png-141.3kBPython API 导入

攻击者使用 .DMG 文件传播恶意软件,用户执行后会显示虚假的密码提示。

image.png-235.1kB虚假密码提示

用户一旦输入凭据后,就会开始收集相关数据并存储于系统目录(/var/folders/{name}/{randomname}/T/{randomname}/files/{different folders})中。

数据压缩后通过 POST 请求发送回 C&C 服务器,后续会从受害者的系统中删除数据与 ZIP 文件。

image.png-318.2kB收集的数据

image.png-45.9kB发送 POST 请求

image.png-557.5kB发送压缩文件

与此同时,部分信息会发送到 Telegram:

image.png-33.3kBTelegram 频道

文件一旦上传到 C&C 服务器,就会与攻击者个人的 Telegram Bot 共享文件:

image.png-339.4kB将压缩文件发送到个人 Telegram Bot

image.png-16.3kB压缩文件

进一步扩展

近期 MacStealer 的传播更加频繁,这些样本都会使用相同的域名进行通信。

image.png-152.4kBVirusTotal 关联图

根据攻击者在暗网中发布的消息,MacStealer 后续还将有许多功能更新:

image.png-17.9kB功能更新

结论

信息窃密恶意软件 MacStealer 能够对最新版本的 macOS 造成威胁,并且使用了 Telegram 作为 C&C 信道来窃取受害者的敏感数据。

IOC

e51416f12f8c60e7593bef8b9fc55e04990aa047ad7e8abc22b511e7eb7586f6
1b5ef101ac0b3c0c98874546ec4277e6a926c36733ab824cece9212373559818
f14dd83e60b8ca6d52e667ed85adafa9b849df33e428b005b05b7c6732de526a
977cf1a74467e72b7fd9434bebd9e171a45b520ade960771b31f3bd5e9e4a5aa
5031aa79912fb23bcbe2209e015974fccb4b9e9334a9e8801833f07bd3a5ccfc
15d1afca780e2ea6ffec8c4862a3401e003b5e79ce5f9076b4eea4ab599bc4ce
821ecdae151ed78eb4792d40a7787127927900a763f3249b31f37d7b67b5e1e5
df71b5c99052b63de167f9c22b3cf6ded513ed6d1e1c74eff7af8cf9e4692714
1153fca0b395b3f219a6ec7ecfc33f522e7b8fc6676ecb1e40d1827f43ad22be
e01eec798a326a1e0beb767cdd0f185e19361871de82e23568042e9fc6128bb6
acef9f3f215335462e2e2e4bacbe6c52e48e764e7174fe46966e29902f6a1890
d61666b49ef700cbd59c744bf5fca2e850be55a52f415102cf3ea1c1c2db18d4
2abc380ad22c47db0035df1f0e6e00a7fabcb5d4afd913e2474478ea11ea6a63
7eed5a8f486aaba3948307f165a636df83857ab6cea21b8fd5e0ff758bb134b3
61f3cd0a7c8191745080aa7b2e0695c3a57327f1f226d9fc7a4be3cee14a2375
1b0684ab02071f8bb03967866596efcea92a48e49f8b1013a6301653f7687e74
9b17aee4c8a5c6e069fbb123578410c0a7f44b438a4c988be2b65ab4296cff5e
6a4f8b65a568a779801b72bce215036bea298e2c08ec54906bb3ebbe5c16c712
hxxp[:]//mac[.]cracked23[.]site/uploadLog
mac[.]cracked23[.]site
89[.]116[.]236[.]26
hxxps[:]//t[.]me/macos_stealer_2023
hxxps[:]//t[.]me/macos_logsbot

参考来源

Uptycs

# stealer # 信息窃密
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录