Após a cautela 9to5mac, no mês passado, sobre malware Mac não detectado escondido em um site falso de conversor PDF, Mosyle, líder em administração e segurança de gadgets da Apple, atualmente revelou um novo InfoStealer. Chamado ModStealer, o malware permaneceu invisível a todos os motores antivírus significativos, uma vez que a exibição inicial no Virustotal praticamente há um mês.
Compartilhado completamente apenas com 9to5mac, o Mosyle States ModStealer não tem como alvo os sistemas macOS, mas é uma plataforma cruzada e criada para fins específicos para algo: deslizar as informações.
De acordo com a avaliação de Mosyle, o ModStealer está sendo fornecido a metas por meio de anúncios prejudiciais do empregador de tarefas que segmentam designers. Ele utiliza dados JavaScript bastante ofuscados criados com NodeJs que permanecem totalmente não detectados pelas defesas baseadas em assinatura. E esse conjunto também não está segmentando indivíduos de Mac; As atmosferas de janelas e Linux também estão em perigo.
O principal objetivo do malware é a exfiltração da informação, com um concentrado específico em bolsos de criptomoeda, dados de credenciais, informações de configuração e certificações. Mosyle descobriu o código pré-carregado segmentação 56 Várias expansões de orçamento do navegador da web, consistindo em Safari, criado para remover segredos exclusivos e detalhes delicados da conta.
Os cientistas da empresa também descobriram que o ModStealer pode capturar, captura de exibição e implementação de código remoto. Os 2 primeiros se comportam, mas o último pode fornecer aos assassinatos o controle praticamente total sobre as ferramentas contaminadas.
O que torna essa exploração tão preocupante é a furtividade com a qual o ModStealer é executado.
No MacOS, o malware realiza perseverança ou uma visibilidade não detectada de longa duração no Mac de um sofredor abusando do próprio dispositivo Launchctl da Apple, instalando-se como um LaunchAgent. A partir daí, ele silenciosamente acompanha a tarefa e exfiltrava informações delicadas a um servidor da web remoto. Os cientistas do Mosyle afirmam que o servidor da web que organiza as informações surgidas parece na Finlândia, mas está vinculado à estrutura na Alemanha, com maior probabilidade de mascarar a área real dos motoristas.
Mosyle acha que o ModStealer se encaixa na conta de malware como serviço (MAAS). É aqui que os designers de malware produzem e comercializam planos prejudiciais aos associados- aqueles com poucas habilidades tecnológicas. Os afiliados obtêm o malware pré -fabricado e podem direcioná -lo para o que desejarem.
Esta versão da organização dos tipos tem sido significativamente preferida entre as gangues cibercriminais, especificamente em dispersando os infotelantes como o ModStealer. Anteriormente, este ano, a JAMF relatou um pico de 28% em malware Infotealer, tornando -o a principal chave doméstica de malware Mac em 2025.
“Para especialistas em segurança, designers e indivíduos acabados, isso atua como um ponteiro simples que as defesas baseadas em assinatura são insuficientes. Rastreamento constante, defesas baseadas em comportamento e reconhecimento de riscos surgidos são necessários para permanecer antes dos inimigos”, aconselha Mosyle.
Indicadores de concessão:
- SHA256 HASH: 8195148D1F697539E206A3DB1018D3F2D6DAF61A207C71A93EC659697D219E84
- Nome do arquivo:. sysupdater (.) Isso
- Endereço IP do servidor da Web C2: 95.217.121 (.) 184
FTC: Utilizamos links da Web Associate de veículos para obter receita. Extra.
.
Fuente
