Allerta MetaStealer: la nuova e temibile minaccia per macOS

I Mac sono ormai uno dei principali obiettivi dei cybercriminali.

A testimoniare questa tendenza, vi è una nuova famiglia di infostealer per macOS, che sta colpendo duramente gli utenti aziendali. Si tratta di MetaStealer, agente malevolo individuato e osservato da SentinelOne, risulta di solito nascosto in documenti o altri file dannosi simili.

Stando a quanto affermato da Phil Stoker di SentinelOne “Molti dei campioni di MetaStealer che abbiamo osservato sono distribuiti in bundle di applicazioni dannose contenute in formato immagine disco (.dmg) con nomi che indicano che gli obiettivi erano utenti aziendali di dispositivi Mac“.

Lo stesso Stoker ha poi aggiunto come “Questo specifico targeting degli utenti aziendali è alquanto insolito per il malware macOS, che si trova più comunemente distribuito tramite siti torrent o distributori sospetti di software di terze parti come versioni contraffatte di software aziendali, di produttività o altri software popolari“.

MetaStealer: una minaccia per le aziende in continua evoluzione

Il malware MetaStealer è progettato specificamente per le macchine che utilizzano processori Apple M1 e M2, con codice malevolo abilmente offuscato. Nonostante la facilità con cui i cybercriminali riescono a nascondere l’infostealer, i ricercatori sono riusciti a trovare alcuni indizi sulle sue funzionalità malware.

A tal proposito, è stato possibile capire come il malware è in grado di rubare password salvate e altri dati sensibili. Alcune varianti di MetaStealer hanno anche un codice integrato per prendere di mira app specifiche come Telegram e Facebook/Meta.

L’agente malevolo, individuato lo scorso marzo, sembra essere in costante evoluzione e, nonostante l’impegno di Apple (con patch relative a XProtect), il colosso informatico sembra fare fatica a tenere a bada questa campagna.

Ciò, però, non significa che macOS non sia alla totale mercé dei cybercriminali. Stoker ha affermato, in tal senso che “Sebbene abbiamo visto alcune versioni che portavano una firma del codice Apple Developer incorporata nell’eseguibile (Bourigaultn Nathan (U5F3ZXR58U), nessuno degli esempi che abbiamo osservato allegava una firma del codice o utilizzava una firma ad hoc. Ciò significa che per ottenere l’esecuzione, l’autore della minaccia probabilmente dovrebbe persuadere la vittima a ignorare protezioni come Gatekeeper e OCSP“.

Mantenendo un alto livello di attenzione e seguendo le direttive di Apple sulla sicurezza informatica, è possibile evitare gli spiacevoli effetti di questo malware.