macOS MetaStealer 攻击目标企业用户数据

黑客使用名为“MetaStealer”的恶意软件来攻击公司并从基于英特尔的 Mac 窃取数据，包括冒充合法的应用程序安装程序。

针对 macOS 的恶意软件攻击仍然是一个问题，攻击成功的主要原因是它们迫使用户打开可执行文件。在一份关于名为“MetaStealers”的 macOS“信息窃取者”家族的报告中，安全研究人员解释了它是如何通过欺骗用户打开磁盘映像来工作的。

根据 SentinelOne 的 Phil Stokes 的说法： MetaStealer 攻击者是目标公司运行 macOS 系统。通过冒充假客户端，受害者在社交上被欺骗，在他们的计算机上运行恶意负载 Mac。

提供给 SentinelOne 的许多示例表明，包含有效负载的磁盘映像文件通常具有业务用户可能感兴趣的名称。其范围从演示名称到“Concept A3 完整菜单，包括菜肴和英文翻译”，再到“付款协议和保密协议 Lucasprod”。 [sic]甚至包括 Photoshop 等 Adobe 产品的安装程序名称。

对于恶意软件用户来说，直接针对商业用户被认为是不寻常的，因为恶意软件通常会大量传播，例如通过虚假种子传播。

各个方面也使得安装所需的努力对于黑客来说变得更加困难。由于磁盘映像包含有效负载之外存在的最低限度的内容，因此该文件通常也不包含任何内容 Apple 开发人员 ID 字符串，根本不要使用代码签名或临时签名。

这会造成额外的障碍，即攻击者必须以某种方式说服潜在受害者覆盖 Gatekeeper 和 OCSP。收集的所有样本都是具有单一架构的 Intel x86_64 二进制文件。因此，虽然它们可以直接在 Intel Mac 上使用，但它们需要使用 Rosetta 来运行 Apple 硅 Mac。

虽然用户在打开其他人发送的或从非官方来源下载的可疑文件时应保持警惕和小心， Apple 已经出台了一些保护措施。作为 XProtect 更新 x2170 的一部分， Apple 包含影响某些版本的 MetaStealer 的检测签名。

SentinelOne 还发布了一份供企业 IT 和安全团队使用的妥协指标列表（见下文）。

妥协指标

MetaStealer 滴管

AdobeOfficialBriefDescription.dmg 00b92534af61a61923210bfc688c1b2a4fecb1bb
Adobe Photoshop 2023（带 AI）安装程序.dmg 51e8eaf98b77105b448f4a0649d8f7c98ac8fc66
广告服务说明（MacOS 演示）.dmg 4da5241119bf64d9a7ffc2710b3607817c8df2f
动画海报.dmg c2cd344fbcd2d356ab8231d4c0a994df20760e3e
卡牌游戏.dmg 5ba3181df053e35011e9ebcc5330034e9e895bfe
付款合同和保密协议 Lucasprod.dmg dec16514cd256613128b93d340467117faca1534
FreyaVR 1.6.102.dmg d3fd59bd92ac03bccc11919d25d6bbfc85b440d3
矩阵.dmg 3033c05eec7c7b98d175df2badd3378e5233b5a2
官方简介.app.zip 345d6077bfb9c55e3d89b32c16e409c508626986
P7yersOfficialBriefDescription 1.0.dmg 35bfdb4ad20908ac85d00dcd7389a820f460db51
PDF.app.zip aa40f3f71039096830f2931ac5df2724b2c628ab
TradingView.dmg e49c078b3c3f696d004f1a85d731cb9ef8c662f1
YoungClass 的简短演讲 Mac 20OS.zip 3161e6c88a4da5e09193b7aac9aa211a032526b9
YoungSUG（涵盖参考文献、任务、徽标、简短描述） YoungSUG_Official_Brief_Description_LucasProd.dmg 61c3f2f3a7521920ce2db9c9de31d7ce1df9dd44