Varning för MacSync Stealer
Blockchain-säkerhetsföretaget SlowMist har varnat för en mycket destruktiv ny infostealer för macOS, kallad ”MacSync Stealer” (v1.1.2). Den aktiva malwarekampanjen riktar sig specifikt mot Apple-användare för att tömma kryptovaluta-plånböcker och exfiltrera känsliga infrastrukturuppgifter.
Bedrägliga Taktiker
Bedrägliga sociala ingenjörstaktiker används av illvilliga aktörer för att kringgå användarförsvar. Malwaret använder falska AppleScript-systemdialoger som efterliknar legitima macOS-lösenordsuppmaningar för att fiska efter användarens inloggningsuppgifter. Det exfiltrerar tyst deras data i bakgrunden så snart offret går på betet.
MacSync Stealer visar ett falskt ”inte stöds”-felmeddelande omedelbart efter att dataextraktionen är klar, för att inte väcka misstankar. Detta får det att verka som om applikationen helt enkelt misslyckades med att starta.
Riktade Angrepp
Förutom kryptovaluta-användare riktar sig malwaret även mot webbläsaruppgifter, macOS-systemnyckelringar och kritiska infrastrukturnycklar, inklusive SSH, AWS och Kubernetes (K8s) uppgifter.
Relaterade Malwarekampanjer
Detta är inte en isolerad händelse. Bybits säkerhetsteam har nyligen avslöjat en malwarekampanj som riktar sig mot macOS-användare som söker efter Claude Code. Dessutom har Microsoft Threat Intelligence avslöjat en mycket riktad macOS-kampanj som orkestrerades av ”Sapphire Sleet”, en känd nordkoreansk statsstödd hotaktör. Sapphire Sleet använder avancerad social ingenjörskonst för att utge sig för att vara legitima macOS-programuppdateringar och stjäla kryptovaluta-plånböcker.
Det är också värt att nämna ”Infinity Stealer”-malware, som visar hur Windows-centrerade attackmetoder anpassas för macOS. Det använder ”ClickFix”-tekniken för att presentera offren för en falsk CAPTCHA-sida.
Cybersäkerhetsföretaget SOC Prime har även identifierat ”MioLab”, en kommersiellt distribuerad macOS-infostealer som är specifikt byggd för att rikta sig mot högvärdiga offer, inklusive kryptoinnehavare.
