- Modus operandi
- Inne incydenty związane z MacOS
Firma zajmująca się bezpieczeństwem blockchain, SlowMist, ostrzegła przed nowym, wysoce destrukcyjnym infostealem macOS o nazwie „MacSync Stealer" (v1.1.2).
Aktywna kampania złośliwego oprogramowania jest skierowana konkretnie przeciwko użytkownikom Apple w celu opróżniania portfeli kryptowalutowych i eksfiltracji bardzo wrażliwych danych uwierzytelniających infrastruktury.
Modus operandi
Złośliwi aktorzy stosują zwodnicze taktyki socjotechniczne, aby ominąć zabezpieczenia użytkowników.
Trader, który przewidział 700% wzrost XRP, ponownie jest „ostrożnie optymistyczny"; prezes Strategy zapowiada niespodziankę dotyczącą Bitcoin, gdy cena BTC otwiera perspektywę 96 600 USD; Dogecoin celuje w 34% wzrost przy zerowych napływach ETF – poranny raport krypto
Brian Armstrong: Nowy dokument o Satoshim jest najlepszy ze wszystkich
Złośliwe oprogramowanie wykorzystuje fałszywe okna dialogowe systemu AppleScript, które imitują legalne monity o hasło w macOS, aby wyłudzić dane logowania użytkownika.
Złośliwe oprogramowanie po cichu eksfiltruje dane w tle, gdy ofiara da się nabrać. MacSync Stealer wyświetla fałszywy komunikat o błędzie „not supported" natychmiast po zakończeniu ekstrakcji danych, aby nie wzbudzać żadnych podejrzeń. Sztuczka sprawia, że wygląda to tak, jakby aplikacja po prostu nie uruchomiła się.
Oprócz użytkowników kryptowalut złośliwe oprogramowanie atakuje dane uwierzytelniające przeglądarki, pęki kluczy systemu macOS oraz klucze krytycznej infrastruktury, w tym dane uwierzytelniające SSH, AWS i Kubernetes (K8s)
Inne incydenty związane z MacOS
To nie jest incydent odosobniony. Zespół bezpieczeństwa Bybit właśnie ujawnił kampanię złośliwego oprogramowania wymierzoną w użytkowników macOS wyszukujących Claude Code.
Niedawno Microsoft Threat Intelligence ujawnił wysoce ukierunkowaną kampanię na macOS zorganizowaną przez „Sapphire Sleet" – znanego aktora zagrożeń sponsorowanego przez państwo północnokoreańskie. Sapphire Sleet stosuje zaawansowaną socjotechnikę, podszywając się pod legalne aktualizacje oprogramowania macOS i kradnąc portfele kryptowalutowe.
Należy również wspomnieć o złośliwym oprogramowaniu „Infinity Stealer", które pokazało, jak metody ataków skoncentrowane na Windows są adaptowane do macOS. Wykorzystuje ono technikę „ClickFix", aby przedstawiać ofiarom fałszywą stronę CAPTCHA. Firma zajmująca się cyberbezpieczeństwem SOC Prime zidentyfikowała również „MioLab" – komercyjnie dystrybuowany infostealer macOS zbudowany specjalnie w celu atakowania wartościowych ofiar, w tym posiadaczy kryptowalut.
Source: https://u.today/new-mac-malware-macsync-stealing-crypto-wallets
