2023 год стал переломным для пользователей macOS, поскольку злоумышленники начали активно разрабатывать вредоносное ПО, ориентированное именно на эту платформу. Эксперты компании SentinelOne зафиксировали появление целого ряда новых семейств воров данных, включая MacStealer, Pureland, Atomic Stealer и RealStealer (также известный как Realst). Одним из последних обнаруженных угроз стал MetaStealer - вредоносный софт, который атакует преимущественно корпоративных пользователей.
Описание
MetaStealer распространяется через поддельные образы дисков (.dmg), замаскированные под деловые документы или профессиональное ПО. Названия файлов выглядят убедительно: "Advertising terms of reference (MacOS presentation).dmg", "CONCEPT A3 full menu with dishes and translations to English.dmg", "Brief_Presentation-Task_Overview-(SOW)-PlayersClub.dmg". Часто в именах фигурируют фразы вроде "Официальное краткое описание", что создает ложное ощущение легитимности.
Один из пострадавших, чей файл попал в VirusTotal, описал схему обмана. Мошенник представился заказчиком дизайна и прислал архив с паролем, внутри которого находился вредоносный DMG. Жертва смонтировала образ и обнаружила приложение, замаскированное под PDF. К счастью, пользователь не запустил его, но многие другие оказываются менее бдительными.
Другой распространенный вектор атаки - поддельные установщики Adobe. Например, "AdobeOfficialBriefDescription.dmg" или "Adobe Photoshop 2023 (with AI) installer.dmg" могут выглядеть как легальные программы, но на самом деле содержат вредоносный код.
Особенность MetaStealer в том, что он нацелен именно на бизнес-аудиторию, что нехарактерно для macOS-угроз. Обычно вредоносное ПО для Mac распространяется через пиратские сайты, торренты или поддельные версии популярного софта. Здесь же злоумышленники используют социальную инженерию, выдавая себя за деловых партнеров.
Apple уже отреагировала на угрозу, добавив сигнатуру для XProtect - встроенного антивирусного механизма macOS. Однако эксперты отмечают, что обновление блокирует не все варианты MetaStealer, поэтому пользователям стоит проявлять осторожность.
Специалисты по кибербезопасности рекомендуют не открывать вложения от неизвестных отправителей, даже если они выглядят профессионально. Также стоит проверять расширения файлов: если документ должен быть PDF, но имеет расширение .app - это явный признак угрозы. Дополнительная защита - использование антивирусов и регулярное обновление системы.
Рост числа атак на macOS свидетельствует о том, что злоумышленники перестали считать эту платформу "безопасной по умолчанию". Владельцы Mac, особенно корпоративные пользователи, должны осознавать риски и принимать меры для защиты данных.
Индикаторы компрометации
IPv4
- 13.114.196.60
- 13.125.88.10
Domains
- api.osx-mac.com
- builder.osx-mac.com
- db.osx-mac.com
URLs
- http://api.osx-mac.com/chainbreaker
- https://api.osx-mac.com/api/collections/victims/records
SHA1
- 00b92534af61a61923210bfc688c1b2a4fecb1bb
- 0edd4b81fa931604040d4c13f9571e01618a4c9c
- 13249e30a9918168e79cdb0f097e4b34fbbd891f
- 13bcebdb4721746671e0cbffbeed1d6d92a0cf6c
- 1424f9245a3325c513a09231168d548337ffd698
- 148bc97ff873276666e0c114d22011ec042fb9b9
- 14da5241119bf64d9a7ffc2710b3607817c8df2f
- 15c377eb5a69f93fa833e845d793691a623f928c
- 166ff1cd47a45e47721bb497b83cc84d8269b308
- 1b3ce71fa42f4c0c16af1b8436fa43ac57d74ce9
- 1cc66e194401f2164ff1cbc8c07121475a570d9f
- 1df31db0f3e5c381ad73488b4b5ac5552326baac
- 1df8ff1fe464a0d9baaeead3c7158563a60199d4
- 1e5319969d6a53efc0ec1345414c62c810f95fce
- 291011119bc2a777b33cc2b8de3d1509ed31b3da
- 2c567a37c49af5bce4a236be5e060c33835132cf
- 3033c05eec7c7b98d175df2badd3378e5233b5a2
- 3161e6c88a4da5e09193b7aac9aa211a032526b9
- 33a5043f8894a8525eeb2ba5d80aef80b2a85be8
- 345d6077bfb9c55e3d89b32c16e409c508626986
- 34c7977e20acc8e64139087bd16f0b0a881b044f
- 3589dd0d01527ca4e8a2ec55159649083b0c50a8
- 35bfdb4ad20908ac85d00dcd7389a820f460db51
- 35c3b735949151aae28ebf16d24fb32c8bcd7e6b
- 35e14d8375f625b04be43019ccb8be57656b15cf
- 394501f410bd9cb4f4432a32b17348cdde3d4157
- 47620d2242dfaf14b7766562e812b7778a342a48
- 51e8eaf98b77105b448f4a0649d8f7c98ac8fc66
- 57c2302c30955527293ed90bfaf627a4132386fb
- 5ba3181df053e35011e9ebcc5330034e9e895bfe
- 61c3f2f3a7521920ce2db9c9de31d7ce1df9dd44
- 65de53298958b4f137c4bd64f31f550dd2199c36
- 70625f621f91fd6b1a433a52e57474316e0df662
- 78e8f9a93b56adc8e030403ba5f10f527941f6ae
- 80c83e659c63c963f55c8add4bf62f9bec73d44e
- 816fdf1fd9cf9aff2121d1b59c9cca38b5e4eb9d
- 86eb7c6a4d4bec5abeb6b44e0506ab0d5a96235d
- 8dfeda030bd3b38592b29d633c40e041d5f3331d
- 8ec57c1b1b5409cadb99b050c3c41460d4c7fea8
- 8f211c0ef570382685d024cc8e6e8acd4a137545
- 90d7f8acf3524fcb58c7d7874a5b6e8194689b1a
- 92b178817a6c9ad22f10b52e9a35a925a3dc751b
- a54c9906d41b04b9daf89c2e6eb4fdd54d0eae39
- a8724eb5f9f8f4607b384154f0c398fce207259e
- aa40f3f71039096830f2931ac5df2724b2c628ab
- b51d7482d38dd19b2cb1cd303e39f8bddf5452ac
- bd6b87c6f4f256fb2553627003e8bce58689d1d8
- bdd4ce8c2622ddcf0888e05690c8b3d1a8c83dae
- be1ac5ed5dfd295be15ba5ed9fbb69f10c8ec872
- c2cd344fbcd2d356ab8231d4c0a994df20760e3e
- c37751372bb6c970ab5c447a1043c58ce49e10a5
- c4d9272ef906c7bf4ccc2a11a7107d6b7071537b
- c5429b9b4d1a8e147f5918667732049f3bd55676
- caf4fb1077cea9d75c8ae9d88817e66c870383b5
- cf467ca23bdb81e008e7333456dfceb1e69e9b8a
- cfa56e10c8185792f8a9d1e6d9a7512177044a8b
- d3fd59bd92ac03bccc11919d25d6bbfc85b440d3
- d7de135a03a2124c6e0dfa831476e4069ebfba24
- dbf0983b29a175ebbcf7132089e69b3999adeca7
- dec16514cd256613128b93d340467117faca1534
- dfd5adb749cbc5608ca915afed826650fcb0ff05
- e49c078b3c3f696d004f1a85d731cb9ef8c662f1
- e5cfc40d04ea5b1dac2d67f8279c1fd5ecf053f6
- f6f09ecc920eb694ed91e4ec158a15f1fb09f5dd
- f93dd5e3504fe79f7fcd64b55145a6197c84caa2
- f97e22bad439d14c053966193fdfdec60b68b786
- fce7a0c00bfed23d6d70b57395e2ec072c456cba
