Nel corso del 2023 sono stati rilevati diversi info-stealer per macOS, tra cui MacStealer, Atomic Stealer e RealStealer. I ricercatori di SentilenOne hanno individuato una new entry: MetaStealer. Ignoti cybercriminali usano il malware per rubare informazioni sensibili dai Mac dei dipendenti aziendali.
MetaStealer attacca i Mac con chip Intel
MetaStealer condivide alcune caratteristiche con Atomic Stealer, tra cui l’uso del linguaggio Go per la scrittura del codice, ma ci sono importanti differenze, come il metodo di distribuzione. I cybercriminali inviato email di phishing con un allegato DMG dal nome ingannevole. Quando l’immagine viene montata sul file system, macOS mostra un file PDF. In realtà è un eseguibile Mach-O.
Nessuno dei file scoperti dai ricercatori è firmato, quindi è necessario disattivare la protezione Gatekeeper. Tutti i file sono compatibili con l’architettura x64, quindi non c’è nessun pericolo per gli utenti che usano i nuovi Mac con chip Apple (architettura ARM).
Purtroppo il malware non viene rilevato da XProtect (l’ultima versione blocca solo alcune varianti), l’antivirus integrato in macOS. Il codice di MetaStealer è infatti pesantemente offuscato. Le funzionalità sono quelle di un info-stealer, quindi può rubare file, esfiltrare i dati memorizzati nel keychain e raccogliere le password dal browser. Le informazioni vengono quindi inviate al server C2 (command and control) gestito dai cybercriminali.
Gli utenti dovrebbero utilizzare un soluzione di sicurezza migliore di quella integrata nel sistema operativo e ovviamente fare attenzione alle email ricevute. Chi possiede un Mac con chip Apple non corre nessun pericolo, a meno che non usi Rosetta.