macOS 平台新出现的信息窃密软件：MacStealer

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序把安全装进口袋

网络安全

现如今，越来越多的攻击者开始使用 Telegram 作为 C&C 信道，例如 Titan Stealer、Parallax RAT 与 HookSpoofer。

近日研究人员发现了一个新的信息窃密软件，也是通过 Telegram 进行控制的，将其命名为 MacStealer。MacStealer 可以通过受害者的浏览器提取 Cookie、登录信息与各种文档文件，会影响 Catalina 与后续基于 M1、M2 芯片的 macOS 系统。

image.png-229.5kB 暗网中的广告

MacStealer 的功能

MacStealer 主要支持以下功能：

从 Firefox、Google Chrome 和 Brave 浏览器中收集密码、Cookie 与银行卡信息
获取指定类型的文件（".txt", ".doc", ".docx", ".pdf", ".xls", ".xlsx", ".ppt", ".pptx", ".jpg", ".png", ".csv", ".bmp", ".mp3", ".zip", ".rar", ".py", ".db"）
获取 KeyChain 数据库

image.png-63.4kB 一百美元的价格进行出售

攻击链

MacStealer 的感染过程如下所示：

image.png-270.3kB MacStealer 感染行为

技术分析

样本文件并没有经过数字签名：

image.png-121kB 没有数字签名的文件

该 Mach-O 文件是从 Python 代码编译而来的：

image.png-20.5kB Python 库依赖

image.png-141.3kB Python API 导入

攻击者使用 .DMG 文件传播恶意软件，用户执行后会显示虚假的密码提示。

image.png-235.1kB 虚假密码提示

用户一旦输入凭据后，就会开始收集相关数据并存储于系统目录（/var/folders/{name}/{randomname}/T/{randomname}/files/{different folders}）中。

数据压缩后通过 POST 请求发送回 C&C 服务器，后续会从受害者的系统中删除数据与 ZIP 文件。

image.png-318.2kB 收集的数据

image.png-45.9kB 发送 POST 请求

image.png-557.5kB 发送压缩文件

与此同时，部分信息会发送到 Telegram：

image.png-33.3kB Telegram 频道

文件一旦上传到 C&C 服务器，就会与攻击者个人的 Telegram Bot 共享文件：

image.png-339.4kB 将压缩文件发送到个人 Telegram Bot

image.png-16.3kB 压缩文件

进一步扩展

近期 MacStealer 的传播更加频繁，这些样本都会使用相同的域名进行通信。

image.png-152.4kB VirusTotal 关联图

根据攻击者在暗网中发布的消息，MacStealer 后续还将有许多功能更新：

image.png-17.9kB 功能更新

结论

信息窃密恶意软件 MacStealer 能够对最新版本的 macOS 造成威胁，并且使用了 Telegram 作为 C&C 信道来窃取受害者的敏感数据。

IOC

e51416f12f8c60e7593bef8b9fc55e04990aa047ad7e8abc22b511e7eb7586f6
1b5ef101ac0b3c0c98874546ec4277e6a926c36733ab824cece9212373559818
f14dd83e60b8ca6d52e667ed85adafa9b849df33e428b005b05b7c6732de526a
977cf1a74467e72b7fd9434bebd9e171a45b520ade960771b31f3bd5e9e4a5aa
5031aa79912fb23bcbe2209e015974fccb4b9e9334a9e8801833f07bd3a5ccfc
15d1afca780e2ea6ffec8c4862a3401e003b5e79ce5f9076b4eea4ab599bc4ce
821ecdae151ed78eb4792d40a7787127927900a763f3249b31f37d7b67b5e1e5
df71b5c99052b63de167f9c22b3cf6ded513ed6d1e1c74eff7af8cf9e4692714
1153fca0b395b3f219a6ec7ecfc33f522e7b8fc6676ecb1e40d1827f43ad22be
e01eec798a326a1e0beb767cdd0f185e19361871de82e23568042e9fc6128bb6
acef9f3f215335462e2e2e4bacbe6c52e48e764e7174fe46966e29902f6a1890
d61666b49ef700cbd59c744bf5fca2e850be55a52f415102cf3ea1c1c2db18d4
2abc380ad22c47db0035df1f0e6e00a7fabcb5d4afd913e2474478ea11ea6a63
7eed5a8f486aaba3948307f165a636df83857ab6cea21b8fd5e0ff758bb134b3
61f3cd0a7c8191745080aa7b2e0695c3a57327f1f226d9fc7a4be3cee14a2375
1b0684ab02071f8bb03967866596efcea92a48e49f8b1013a6301653f7687e74
9b17aee4c8a5c6e069fbb123578410c0a7f44b438a4c988be2b65ab4296cff5e
6a4f8b65a568a779801b72bce215036bea298e2c08ec54906bb3ebbe5c16c712
hxxp[:]//mac[.]cracked23[.]site/uploadLog
mac[.]cracked23[.]site
89[.]116[.]236[.]26
hxxps[:]//t[.]me/macos_stealer_2023
hxxps[:]//t[.]me/macos_logsbot

参考来源

Uptycs