MetaStealer Malware IOCs - Part 3

Этот год ознаменовался бурным ростом числа злоумышленников, нацеленных на платформу macOS. В течение 2023 года Sentinelone наблюдали целый ряд новых семейств похитителей информации, включая MacStealer, Pureland, Atomic Stealer и RealStealer (он же Realst). В течение последних нескольких месяцев Sentinelone также отслеживали семейство похитителей информации для macOS, которое назвали "MetaStealer". На прошлой неделе компания Apple выпустила новую сигнатуру для XProtect, которая обнаруживает некоторые (но не все) варианты семейства MetaStealer.

MetaStealer Malware

Многие из обнаруженных образцов MetaStealer распространяются в составе комплектов вредоносных приложений, содержащих образы дисков в формате (.dmg) с названиями, указывающими на то, что целью являются бизнес-пользователи устройств Mac.

Образы дисков MetaStealer содержат такие названия, как

• “Advertising terms of reference (MacOS presentation).dmg”
• “CONCEPT A3 full menu with dishes and translations to English.dmg”
• “AnimatedPoster.dmg”
• “Brief_Presentation-Task_Overview-(SOW)-PlayersClub.dmg”

Многие из образов дисков-дропперов содержат названия, включающие слова "Официальное краткое описание", например "(Cover references,tasks,logos,brief)\YoungSUG_Official_Brief_Description_LucasProd.dmg", что позволяет предположить, что это были заманухи, ориентированные на бизнес-пользователей macOS.

В одном случае на VirusTotal была выложена вредоносная версия MetaStealer с именем "Conract for paymen & confidentiality agreement Lucasprod.dmg" с комментарием от жертвы, описывающим, как ее заманили.

"Я стал жертвой человека, выдававшего себя за заказчика дизайна, и не понимал, что происходит что-то необычное. Человек, с которым я вел переговоры по работе на прошлой неделе, прислал мне защищенный паролем zip-файл, содержащий этот DMG-файл, который показался мне немного странным.

Вопреки здравому смыслу я смонтировал образ на свой компьютер, чтобы посмотреть его содержимое. В нем оказалось приложение, замаскированное под PDF, которое я не стал открывать и только тогда понял, что это мошенник".

В других встречавшихся нам версиях MetaStealer используются имена, маскирующиеся под файлы или программы Adobe, например "AdobeOfficialBriefDescription.dmg" и "Adobe Photoshop 2023 (with AI) installer.dmg".

Такая специфическая нацеленность на бизнес-пользователей несколько необычна для вредоносных программ для macOS, которые чаще всего распространяются через торрент-сайты или подозрительных сторонних распространителей ПО в виде взломанных версий бизнес-, производительных и других популярных программ.

Indicators of Compromise

IPv4

• 13.114.196.60
• 13.125.88.10

Domains

• api.osx-mac.com
• builder.osx-mac.com
• db.osx-mac.com

URLs

• http://api.osx-mac.com/chainbreaker
• https://api.osx-mac.com/api/collections/victims/records

SHA1

• 00b92534af61a61923210bfc688c1b2a4fecb1bb
• 0edd4b81fa931604040d4c13f9571e01618a4c9c
• 13249e30a9918168e79cdb0f097e4b34fbbd891f
• 13bcebdb4721746671e0cbffbeed1d6d92a0cf6c
• 1424f9245a3325c513a09231168d548337ffd698
• 148bc97ff873276666e0c114d22011ec042fb9b9
• 14da5241119bf64d9a7ffc2710b3607817c8df2f
• 15c377eb5a69f93fa833e845d793691a623f928c
• 166ff1cd47a45e47721bb497b83cc84d8269b308
• 1b3ce71fa42f4c0c16af1b8436fa43ac57d74ce9
• 1cc66e194401f2164ff1cbc8c07121475a570d9f
• 1df31db0f3e5c381ad73488b4b5ac5552326baac
• 1df8ff1fe464a0d9baaeead3c7158563a60199d4
• 1e5319969d6a53efc0ec1345414c62c810f95fce
• 291011119bc2a777b33cc2b8de3d1509ed31b3da
• 2c567a37c49af5bce4a236be5e060c33835132cf
• 3033c05eec7c7b98d175df2badd3378e5233b5a2
• 3161e6c88a4da5e09193b7aac9aa211a032526b9
• 33a5043f8894a8525eeb2ba5d80aef80b2a85be8
• 345d6077bfb9c55e3d89b32c16e409c508626986
• 34c7977e20acc8e64139087bd16f0b0a881b044f
• 3589dd0d01527ca4e8a2ec55159649083b0c50a8
• 35bfdb4ad20908ac85d00dcd7389a820f460db51
• 35c3b735949151aae28ebf16d24fb32c8bcd7e6b
• 35e14d8375f625b04be43019ccb8be57656b15cf
• 394501f410bd9cb4f4432a32b17348cdde3d4157
• 47620d2242dfaf14b7766562e812b7778a342a48
• 51e8eaf98b77105b448f4a0649d8f7c98ac8fc66
• 57c2302c30955527293ed90bfaf627a4132386fb
• 5ba3181df053e35011e9ebcc5330034e9e895bfe
• 61c3f2f3a7521920ce2db9c9de31d7ce1df9dd44
• 65de53298958b4f137c4bd64f31f550dd2199c36
• 70625f621f91fd6b1a433a52e57474316e0df662
• 78e8f9a93b56adc8e030403ba5f10f527941f6ae
• 80c83e659c63c963f55c8add4bf62f9bec73d44e
• 816fdf1fd9cf9aff2121d1b59c9cca38b5e4eb9d
• 86eb7c6a4d4bec5abeb6b44e0506ab0d5a96235d
• 8dfeda030bd3b38592b29d633c40e041d5f3331d
• 8ec57c1b1b5409cadb99b050c3c41460d4c7fea8
• 8f211c0ef570382685d024cc8e6e8acd4a137545
• 90d7f8acf3524fcb58c7d7874a5b6e8194689b1a
• 92b178817a6c9ad22f10b52e9a35a925a3dc751b
• a54c9906d41b04b9daf89c2e6eb4fdd54d0eae39
• a8724eb5f9f8f4607b384154f0c398fce207259e
• aa40f3f71039096830f2931ac5df2724b2c628ab
• b51d7482d38dd19b2cb1cd303e39f8bddf5452ac
• bd6b87c6f4f256fb2553627003e8bce58689d1d8
• bdd4ce8c2622ddcf0888e05690c8b3d1a8c83dae
• be1ac5ed5dfd295be15ba5ed9fbb69f10c8ec872
• c2cd344fbcd2d356ab8231d4c0a994df20760e3e
• c37751372bb6c970ab5c447a1043c58ce49e10a5
• c4d9272ef906c7bf4ccc2a11a7107d6b7071537b
• c5429b9b4d1a8e147f5918667732049f3bd55676
• caf4fb1077cea9d75c8ae9d88817e66c870383b5
• cf467ca23bdb81e008e7333456dfceb1e69e9b8a
• cfa56e10c8185792f8a9d1e6d9a7512177044a8b
• d3fd59bd92ac03bccc11919d25d6bbfc85b440d3
• d7de135a03a2124c6e0dfa831476e4069ebfba24
• dbf0983b29a175ebbcf7132089e69b3999adeca7
• dec16514cd256613128b93d340467117faca1534
• dfd5adb749cbc5608ca915afed826650fcb0ff05
• e49c078b3c3f696d004f1a85d731cb9ef8c662f1
• e5cfc40d04ea5b1dac2d67f8279c1fd5ecf053f6
• f6f09ecc920eb694ed91e4ec158a15f1fb09f5dd
• f93dd5e3504fe79f7fcd64b55145a6197c84caa2
• f97e22bad439d14c053966193fdfdec60b68b786
• fce7a0c00bfed23d6d70b57395e2ec072c456cba