Babala mula sa SlowMist
Nagbigay ng babala ang blockchain security firm na SlowMist tungkol sa isang napaka-mapaminsalang bagong infostealer para sa macOS na tinatawag na “MacSync Stealer” (v1.1.2). Ang aktibong kampanya ng malware na ito ay partikular na nakatuon sa mga gumagamit ng Apple, layunin nitong ubusin ang mga cryptocurrency wallet at kunin ang mga sensitive credentials ng imprastruktura. Gumagamit ang mga masamang aktor ng mapanlinlang na mga taktika sa social engineering upang malampasan ang mga depensa ng gumagamit.
Paano Gumagana ang MacSync Stealer
Ang malware ay gumagamit ng mga pekeng AppleScript system dialogs na ginagaya ang mga lehitimong password prompts ng macOS upang manghuthot ng mga kredensyal sa pag-login ng gumagamit. Tahimik na kinukuha ng malware ang kanilang data sa background sa sandaling mahulog ang biktima sa bitag. Ipinapakita ng MacSync Stealer ang isang pekeng mensahe ng error na “hindi suportado” kaagad pagkatapos makumpleto ang pagkuha ng data upang hindi magduda ang sinuman. Ang trick na ito ay nagpapakita na parang hindi nagtagumpay ang aplikasyon na maglunsad.
Target ng Malware
Bukod sa mga gumagamit ng cryptocurrency, ang malware ay nakatuon din sa mga kredensyal ng browser, mga Keychain ng macOS, at mga kritikal na susi ng imprastruktura, kabilang ang SSH, AWS, at Kubernetes (K8s) credentials. Ito ay hindi isang nakahiwalay na insidente. Kamakailan, natuklasan ng security team ng Bybit ang isang kampanya ng malware na nakatuon sa mga gumagamit ng macOS na naghahanap ng Claude Code.
Mga Kaugnay na Banta
Inilarawan din ng Microsoft Threat Intelligence ang isang mataas na nakatuon na kampanya sa macOS na pinangunahan ng “Sapphire Sleet”, isang kilalang banta na pinondohan ng estado ng North Korea. Gumagamit ang Sapphire Sleet ng advanced social engineering upang magpanggap bilang mga lehitimong pag-update ng software ng macOS at magnakaw ng mga cryptocurrency wallet.
Dapat ding banggitin ang “Infinity Stealer” malware, na nagpakita kung paano ang mga pamamaraang nakatuon sa Windows ay inaangkop para sa macOS. Gumagamit ito ng “ClickFix” na teknika upang ipakita ang mga biktima ng isang pekeng CAPTCHA page. Nakilala rin ng cybersecurity firm na SOC Prime ang “MioLab”, na isang commercially distributed macOS infostealer na tahasang itinayo upang targetin ang mga mataas na halaga na biktima, kabilang ang mga may hawak ng crypto.
