Cybersecurity-experts van SentinelOne hebben een alarmerende nieuwe dreiging geanalyseerd die zich specifiek richt op Mac-gebruikers. Deze malware, genaamd MetaStealer, heeft de aandacht getrokken van beveiligingsexperts over de hele wereld vanwege zijn verfijnde aanpak en potentieel destructieve mogelijkheden.
Onderzoekers hebben vastgesteld dat MetaStealer enkele opmerkelijke kenmerken vertoont. Hoewel sommige versies een Apple Developer ID-string bevatten in de uitvoerbare code (Bourigaultn Nathan (U5F3ZXR58U)), blijkt dat geen van de waargenomen samples voorzien was van een code signature of gebruikmaken van ad-hoc ondertekening. Dit betekent dat de aanvaller waarschijnlijk de gebruiker zou moeten verleiden om beschermingsmaatregelen zoals Gatekeeper en OCSP te omzeilen om uitvoering mogelijk te maken. Interessant genoeg zijn alle samples die tot nu toe zijn verzameld, enkelvoudige Intel x86_64-binaries. Hierdoor kunnen ze niet worden uitgevoerd op Apple’s Apple Silicon M1- en M2-machines zonder de hulp van Rosetta.
De eerste exemplaren van MetaStealer begonnen op te duiken op VirusTotal rond maart 2023 en namen gedurende de zomer gestaag toe. Het meest recente sample waarvan we op de hoogte zijn, werd geüpload naar VirusTotal op 27 augustus. Apple heeft zijn malware-blokkerende tool XProtect bijgewerkt naar versie 2170 in de week van 4 september.
Deze ontdekking onderstreept het voortdurende belang van cyberbeveiliging en waakzaamheid bij het gebruik van Mac-apparaten. Mac-gebruikers wordt ten zeerste aangeraden om hun besturingssystemen up-to-date te houden en voorzichtig te zijn bij het openen van onbekende bestanden of het volgen van verdachte links. Beveiligingsexperts en -onderzoekers blijven deze nieuwe dreiging nauwlettend volgen en werken aan het ontwikkelen van tegenmaatregelen om Mac-gebruikers te beschermen tegen de impact van Metastealer.
Meer informatie over MetaStealer is te lezen in deze blogpost.
