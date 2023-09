Mac er fremdeles den tryggeste plattformen når det gjelder forekomsten av ondsinnet programvare, men den siste tiden har vi sett en markant økning i antallet trusselaktører som går etter Mac-folket. Nå har enda en aktør havnet på radaren, rapporterer Apple Insider.

Sikkerhetsselskapet Sentinel One melder om en ny Mac-skadevare døpt «Metastealer». Som navnet antyder, dreier det seg også denne gangen om skadevare designet for å stjele sensitive data – i likhet med Atomic Stealer-programvaren, en annen Mac-skadevare som Digi.no nylig fortalte om (krever abonnement).

Retter seg mot bedriftsbrukere

Metastealer skiller seg imidlertid fra ovennevnte og mye annen skadevare ved at den retter seg spesifikt mot bedrifter. Ifølge Sentinel One skjer infeksjonene ofte ved at trusselaktøren(e) utgir seg for å være klienter, for deretter å lure ofrene til å kjøre programvaren gjennom såkalt sosial manipulering.

Skadevarens egenskaper omfatter blant annet tyveri av passord fra Keychain – Apples egen tjeneste for passordadministrering. Noen prøver av programvaren retter seg også mot meldingstjenesten Telegram og Metas tjenester. Skadevaren kan også stjele ulike typer filer.

Sentinel One sier at tidlige varianter av Metastealer begynte å dukke opp på virustjenesten Virustotal i mars i år, men antallet fortsatte å øke utover sommeren.

Apple skal ifølge sikkerhetsselskapet nylig ha oppdatert Xprotect, tjenesten som beskyttet brukere mot ondsinnet programvare. Flere versjoner av Metastealer skal imidlertid fortsatt være uoppdaget av Xprotect, selv etter oppdateringen.

Skadevaren spres i stor grad som *.dmg-filer (disk image format) med ondsinnede applikasjonspakker som ofte har navn som indikerer at målene er bedriftsbrukere av Mac-enheter. Noen versjoner kamuflerer seg også som Adobe-filer, ifølge Sentinel One.

– Viser en trend

Det er verdt å merke seg at alle prøvene av Metastealer-skadevaren som hittil er oppdaget, er designet for Intel x86-arkitekturen, som innebærer at Mac-enheter som baserer seg på Apples egne M1- og M2-brikker, bør være utenfor faresonen.

Det er uvisst hvor mange som er rammet av Metastealer-programvaren, og akkurat hvor utbredt den er. Funnene er likevel et tegn på at Mac-plattformen er i ferd med å bli populær blant trusselaktører, sier sikkerhetsforskerne.

– Funnet av enda en «infostealer»-programvare til macOS i år viser at trenden med å rette seg mot Mac-brukere for dataene deres, fortsetter å øke i popularitet blant trusselaktører. Det som gjør Metastealer bemerkelsesverdig blant de seneste skadevarene, er den tydelige målrettingen mot bedriftsbrukere og eksfiltreringen av verdifulle Keychain-data og annen informasjon fra disse målene. Slike høyverdidata kan brukes til å utføre ytterligere cyberkriminell aktivitet eller få et fotfeste i et større bedriftsnettverk, skriver Sentinel One.

Flere detaljer kan man finne i sikkerhetsselskapets beskrivelse av programvaren.