Advarsel om MacSync Stealer
Blockchain-sikkerhedsfirmaet SlowMist har advaret om en meget destruktiv ny macOS-infostealer kaldet “MacSync Stealer” (v1.1.2). Den aktive malwarekampagne retter sig specifikt mod Apple-brugere for at tømme kryptovaluta-wallets og eksfiltrere meget følsomme infrastrukturlegitimationsoplysninger.
Angrebsmetoder
Bedrageriske social engineering-taktikker anvendes af ondsindede aktører for at omgå brugerens forsvar. Malware’en bruger falske AppleScript-systemdialoger, der efterligner legitime macOS-adgangskodeprompter for at fiske efter brugerens loginoplysninger. Den eksfiltrerer stille deres data i baggrunden, så snart offeret tager agnet.
“MacSync Stealer viser en falsk ‘ikke understøttet’ fejlmeddelelse straks efter dataudtrækningen er fuldført for ikke at vække mistanke.”
Dette trick får det til at se ud som om applikationen blot fejlede i at starte. Udover kryptovaluta-brugere retter malware’en sig mod browserlegitimationsoplysninger, macOS-system Keychains og kritiske infrastruktur-nøgler, herunder SSH, AWS og Kubernetes (K8s) legitimationsoplysninger.
Relaterede Trusler
Dette er ikke en isoleret hændelse. Bybit’s sikkerhedsteam har netop afdækket en malwarekampagne, der retter sig mod macOS-brugere, der søger efter Claude Code. For nylig afslørede Microsoft Threat Intelligence en meget målrettet macOS-kampagne orkestreret af “Sapphire Sleet”, en kendt nordkoreansk statsstøttet trusselaktør. Sapphire Sleet bruger avanceret social engineering til at efterligne legitime macOS-softwareopdateringer og stjæle kryptovaluta-wallets.
Man bør også nævne “Infinity Stealer” malware, som demonstrerede, hvordan Windows-centrerede angrebsmetoder tilpasses til macOS. Den bruger “ClickFix” teknikken til at præsentere ofrene for en falsk CAPTCHA-side. Cybersecurity-firmaet SOC Prime har også identificeret “MioLab”, som er en kommercielt distribueret macOS-infostealer, der er specifikt bygget til at målrette højt værdsatte ofre, herunder kryptoindehavere.
