Advarsel om MacSync Stealer
Blockchain-sikkerhetsfirmaet SlowMist har advart om en svært destruktiv ny macOS-infostealer kalt «MacSync Stealer» (v1.1.2). Den aktive malwarekampanjen retter seg spesifikt mot Apple-brukere for å tømme kryptovaluta-lommebøker og eksfiltrere svært sensitive legitimasjoner knyttet til infrastruktur.
Angrepsmetoder
Bedragerske sosialtekniske taktikker benyttes av ondsinnede aktører for å omgå brukerens forsvar. Malwaret bruker falske AppleScript-systemdialoger som etterligner legitime macOS-passordforespørsel for å fiske etter brukerens påloggingslegitimasjoner. Det eksfiltrerer stille dataene deres i bakgrunnen så snart offeret tar agnet.
«MacSync Stealer viser en falsk «ikke støttet» feilmelding umiddelbart etter at datautvinningen er fullført, for å unngå å vekke mistanke.»
Dette trikset får det til å se ut som om applikasjonen bare mislyktes i å starte. I tillegg til kryptovaluta-brukere, retter malwaret seg mot nettleserlegitimasjoner, macOS-systemnøkler og kritiske infrastruktur-nøkler, inkludert SSH, AWS og Kubernetes (K8s) legitimasjoner.
Relaterte trusselaktører
Dette er ikke en isolert hendelse. Bybits sikkerhetsteam har nettopp avdekket en malwarekampanje som retter seg mot macOS-brukere som søker etter Claude Code. Nylig avslørte Microsoft Threat Intelligence en svært målrettet macOS-kampanje orkestrert av «Sapphire Sleet,» en kjent nordkoreansk statssponset trusselaktør.
Sapphire Sleet bruker avanserte sosialtekniske metoder for å utgi seg for å være legitime macOS-programvareoppdateringer og stjele kryptovaluta-lommebøker. Det er også verdt å nevne «Infinity Stealer» malware, som demonstrerte hvordan Windows-sentrerte angrepsmetoder tilpasses for macOS. Dette malwaret bruker «ClickFix»-teknikken for å presentere ofrene for en falsk CAPTCHA-side.
Cybersikkerhetsfirmaet SOC Prime har også identifisert «MioLab,» som er en kommersielt distribuert macOS-infostealer eksplisitt bygget for å målrette høyt verdsatte ofre, inkludert kryptoinnehavere.
