Se tem um Mac com os processadores M1 e superior pode estar descansado. No entanto, se ainda tem um computador com macOS baseado num processador Intel tem mesmo de ter cuidado! É que há uma nova ameaça chamada MetaStealer que rouba uma grande variedade de informações confidenciais. Ainda por cima é capaz de contornar antívirus que estejam presentes na máquina que está a ser atacada. Pelas suas características tem mesmo de dar atenção a este alerta importante se tem um Mac Intel.
Atenção a este alerta importante para quem tem um Mac Intel!
Como refere o site BleepingComputer, a SentinelOne tem estado a seguir o malware nos últimos meses. Assim observou um envolvimento invulgar de engenharia social na sua distribuição.
Embora o malware tenha algumas semelhanças com o Atomic Stealer, outro ladrão de informação baseado em Go para macOS, a sobreposição de código é limitada e os métodos de distribuição são diferentes.
Por isso, o SentinelOne conclui que o MetaStealer é uma operação separada.
O SentinelOne encontrou uma amostra de malware no VirusTotal com um comentário. Nele um utilizador refere que os agentes da ameaça MetaStealer estão a contactar empresas e a fazer-se passar por clientes da empresa para distribuir o malware.
“Fui contactado por alguém que se fazia passar por um cliente de design. Não me apercebi de nada fora do normal. O homem com quem tinha negociado o trabalho na semana passada enviou-me um ficheiro zip protegido por palavra-passe contendo um ficheiro DMG, o que me pareceu um pouco estranho”, lê-se no comentário do VirusTotal.
“Contra o meu bom senso, montei a imagem no meu computador para ver o seu conteúdo. Continha uma aplicação que estava disfarçada de PDF. Não abri e foi quando percebi que era um burlão.”
Anexados aos e-mails de phishing estão ficheiros de imagem de disco que, quando montados no sistema de ficheiros, contêm executáveis com nomes enganadores. Entretanto aparecem como ficheiros PDF para induzir a vítima a abri-los.
Quando entra no sistema esta ameaça consegue exfiltrar o keychain e extrair palavras-passe guardadas, roubar ficheiros do sistema e visar os serviços Telegram e Meta (Facebook).
Lembro que o keychain é um sistema de gestão de passwords ao nível do sistema para o macOS, gerindo credenciais para sites, aplicações, redes WiFi, certificados, chaves de encriptação, informações de cartões de crédito e até notas privadas.
Assim, a exfiltração do conteúdo do keychain é uma característica poderosa que pode dar aos atacantes acesso a dados sensíveis.
Na sua versão atual, o MetaStealer só funciona na arquitetura Intel x86_64. Isto significa que não pode comprometer os sistemas macOS executados em processadores Apple Silicon (M1, M2). Isto a menos que a vítima utilize o Rosetta para executar o malware.
Isto atenua a ameaça e limita-a a um número cada vez menor de potenciais vítimas, uma vez que os computadores Apple baseados em Intel estão a ser progressivamente eliminados.
No entanto, o MetaStealer pode lançar uma nova versão que adiciona suporte nativo para o Apple Silicon. Assim é uma ameaça a ter em conta.
