Marek Bezdíček 
Aktuální iterace MacStealeru pochází ze souboru s názvem „weed.dmg“
AppleInsider může získat přidruženou provizi za nákupy uskutečněné prostřednictvím odkazů na našich stránkách.
Byl nalezen nový malware s názvem MacStealer, který infikuje počítače Intel a Apple Silicon Mac a krade hesla, informace o kreditních kartách a další osobní údaje.
Bezpečnostní výzkumníci Uptycs odhalili trojici rodin malwaru založených na Windows, kteří využívají službu zasílání zpráv Telegram. Nyní tým našel verzi specifickou pro uživatele Mac.
Malware, označovaný jako MacStealer, má schopnost přebírat dokumenty, soubory cookie prohlížeče a přihlašovací údaje z cílového Macu. Funguje také konkrétně na počítačích Mac se systémem macOS Catalina nebo novějším, který běží na čipech Intel nebo Apple Silicon.
V rámci krádeže software bere přihlašovací údaje a soubory cookie z prohlížečů Firefox, Google Chrome a Brave a také extrahuje databázi Keychain. Pokouší se také zabezpečit různé typy souborů, včetně MP3, textových souborů, PDF, souborů PowerPoint, fotografií a databází.
I když se tahání Keychain může zdát uživatelům jako velké nebezpečí, útok zahrnuje velkoobchodní převzetí Keychain bez přístupu k datům v něm. Databáze je sice odebrána a odeslána útočníkovi telegramem, ale je stále šifrovaná.
Hrozný hráč, který prodává přístup k MacStealer za 100 dolarů za sestavení, říká, že extrahovaný Keychain je „téměř nemožný“ bez hlavního hesla. Jako součást pokusu o prodej herec říká, že „nechtějí dělat falešné sliby“ pro přístup k těmto datům a nezahrnuli je do seznamu „připravovaných“ funkcí.
Mezi další položky v seznamu „Připravované funkce“ patří vyprázdnění kryptopeněženek, nástroj pro generování nových sestavení, reverzní shell, vlastní uploader a ovládací panel.
Současně s uchopením souborů a dat používá MacStealer telegram k odeslání vybraných informací konkrétním kanálům. Samostatná kompilace ZIP je pak sdílena s telegramovým robotem ovládaným hackerem.
Jak se chránit před MacStealer
Není jasné, jak přesně se malware pohybuje mezi počítači Mac, ale počáteční infekce byly způsobeny aplikací s názvem „weed.dmg“. Jak byste očekávali, vypadá to jako spustitelný soubor s listem jako ikonou.
Pokus o otevření souboru vyvolá falešnou výzvu k zadání hesla macOS, kterou pak nástroj použije k přístupu k dalším souborům v systému.
![Výzva k falešnému heslu MacStealer pro macOS [left]výzva k zadání skutečného hesla systému macOS [right]](https://photos5.appleinsider.com/gallery/53669-107925-fake-password-real-one-macstealer-xl.jpg)
Výzva k falešnému heslu MacStealer pro macOS [left]výzva k zadání skutečného hesla systému macOS [right]
Výzva k zadání hesla, kterou software používá, se výrazně liší od toho, co uživatelům poskytuje macOS, takže pro zkušeného uživatele Macu by mělo být poměrně snadné zjistit něco špatně. Velkým vodítkem je, že nezahrnuje již vyplněné pole uživatelského jména.
Uptycs doporučuje, aby uživatelé udržovali své systémy Mac aktuální pomocí oprav a aktualizací. Rovněž se doporučuje povolit pouze instalaci souborů z důvěryhodných zdrojů, jako je App Store.
Zdroj: appleinsider.com
