Um novo malware do MacOS Infotealer, designado como Mac.c, emergiu como um candidato formidável no ecossistema subterrâneo de malware como serviço (MAAS).
Desenvolvido abertamente por um ator de ameaças que opera sob o pseudônimo “MentalPositive”, Mac.c representa um derivado simplificado do notório morcego de macos atômicos (AMOS), otimizado para o Rapid Exfiltração de dados com pegada mínima.
Esse malware aproveita os utilitários nativos do MACOS, como AppleScript e System APIs, para realizar operações furtivas que imitam os processos legítimos, evitando assim mecanismos tradicionais de detecção e resposta de terminais (EDR).
Ao minimizar a dependência de dependências externas, o Mac.C aprimora suas capacidades de evasão, permitindo que ele se infiltre em sistemas através de instaladores trojanizados disfarçados de aplicações benignas, incluindo rachaduras para software popular como produtos Adobe.
Ameaça no MacOS InfoStealer Paisagem
A trajetória de desenvolvimento do Mac.C, conforme rastreado pelo Moonlock Lab nos fóruns da Dark Web, revela uma abordagem incomumente transparente da MentalPositive, que compartilhou publicamente trechos de código, atualizações e aprimoramentos de recursos ao longo de vários meses.
Essa estratégia aparece projetada para cultivar uma base de usuários e estabelecer credibilidade no mercado de nicho macos maas.
Os principais avanços incluem otimização de tamanho binário para reduzir artefatos detectáveis durante a análise estática, a integração de um grabber de arquivos remotos por meio de um painel de controle administrativo, compatibilidade expandida do navegador e um módulo especializado para phishing Trezor Cryptocurrency Wallet Wallet Frases.
Além disso, o Mac.C incorpora geração dinâmica de construção para contornar as assinaturas de antivírus Xprotect da Apple, garantindo que cada instância seja ofuscada única.
A análise de código do Moonlock Lab destaca as semelhanças literalmente com o AMOS, sugerindo uma potencial reutilização ou colaboração de código, embora o MentalPositivo tenha expressado intenções para práticas de “negócios justos” para evitar confrontos diretos com players estabelecidos como desenvolvedores da AMOS.
Funcionalmente, o Mac.c inicia sua cadeia de ataque através de vetores de phishing, implantando uma carga útil primária que se transforma em um estágio secundário que explora AppleScript para colheita de credenciais.
Ele tem como alvo entradas de chaveiro do iCloud, senhas armazenadas no navegador de dados do Chrome, Edge, Brave e Yandex, da carteira de criptomoeda de extensões como metamask, fantasma e binance, além de metadados do sistema e arquivos de diretórios predefinidos.
Uma tática particularmente insidiosa envolve a fabricação de instruções do sistema, como se passar por “bruxas inocentes” do jogo para solicitar senhas de usuário, que são armazenadas em texto sem formatação para o acesso não autorizado subsequente.
A exfiltração de dados ocorre através de comunicações encenadas para servidores controlados por atacantes, concentrando-se fortemente em artefatos de criptomoeda de carteiras, incluindo Electrum, Exodus, Coinomi, Atomic, Monero, Wasabi e Ledger Live.
Essa ênfase ressalta o direcionamento principal do Mac.c de entusiastas da criptomoeda, permitindo roubo rápido de ativos digitais como NFTs e estábulos sem conscientização imediata do usuário.
Preços e impacto no mercado
Com preço de uma taxa de assinatura de US $ 1.500 por mês, com uma taxa adicional de US $ 1.000 para o módulo de phishing de Trezor, o Mac.C reduz o custo mensal de US $ 3.000 de Amos, democratizando o acesso a sofisticados infotealistas para atores de ameaças menos com recursos.
Laboratório Moonlock confirma A eficácia operacional da Mac.c, tendo detectado amostras ao vivo entre os usuários de seu software CleanMymac em nomes de arquivos como o instalador.dmg e o instalador descrevendo adobe.dmg.
Embora essas detecções impedissem violações, elas indicam campanhas de disseminação ativa, provavelmente por malvertismo e phishing.
Comparado ao AMOS, o Mac.c oferece menos recursos gerais, apoiando uma gama mais estreita de carteiras e extensões, mas seu design e eficiência de custos orientados para a velocidade aumentaram a popularidade entre os atores dos traficantes especializados em distribuição de malware.
Esse surgimento pode atrapalhar a hierarquia do Infotealer MacOS, potencialmente despertando rivalidades, embora as aberturas do MentalPositive em relação às relações amigáveis com os colegas sugerem um esforço para coexistir.
As descobertas do Moonlock Lab enfatizam a necessidade de análises comportamentais aprimoradas nas ferramentas de segurança do MacOS para combater essas ameaças evasivas, pois a dependência da detecção baseada em assinatura se mostra insuficiente.
Para os usuários do MacOS, a vigilância contra downloads não solicitados e a verificação imediata dos diálogos do sistema permanece crítica, principalmente para quem gerencia ativos de criptomoeda.
À medida que o Dark Web Maas Market evolui, o Mac.C exemplifica como o desenvolvimento aberto e os preços agressivos podem acelerar a proliferação de malware personalizado, apresentando riscos crescentes para acabar com a segurança nos ecossistemas da Apple.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!