macOS Infostealer
macOS Infostealer “DigitStealer“ hinterlässt kaum Spuren in betroffenen Systemen
macOS Infostealer
Das Threat-Labs-Team von Jamf , dem führenden Anbieter für die Verwaltung und den Schutz von Apple-Geräten, hat ein neues Sicherheitsrisiko identifiziert.
Bei DigitStealer handelt es sich um einen technisch ausgefeilten Infostealer, der auf macOS abzielt und mithilfe von fortschrittlichen Hardware-Prüfungen und mehrstufigen Angriffsmustern die Erkennung durch Sicherheitssysteme umgeht und so unbemerkt sensible Daten stiehlt. Zum Zeitpunkt der Analyse durch das Threat-Labs-Team von Jamf war DigitStealer vollständig unentdeckt, wurde also von keinem Antivirusprogramm erkannt.
Wie funktioniert DigitStealer?
DigitStealer nutzt den bewährte „Drag-to-Terminal“-Ansatz, um Schutzmaßnahmen zu umgehen und seinen Schadcode auszuführen. Er tarnt sich als legitimes macOS-Dienstprogramm „Dynamic Lake“ und enthält einige Elemente, die in vergleichbaren Infostealer-Payloads üblicherweise nicht enthalten sind.
Dazu zählen eine Überprüfung, um die Ländereinstellung des Systems zu ermitteln. Wenn diese mit bestimmten vordefinierten Werten übereinstimmt, beendet sich DigitStealer von selbst. Dieser Mechanismus dient möglicherweise dazu, Systeme in Ländern zu schützen, in denen sich die Angreifer selbst aufhalten. Außerdem überprüft DigitStealer anhand bestimmter Hardware-Funktionen, ob das Zielsystem einen Apple Silicon M2-Chip oder einen neueren Chip-Satz nutzt. Diese Überprüfungen deuten darauf hin, dass sich die Angreifer zunehmend der Hardware-Funktionen von Apple bewusst sind und versuchen, die Ausführung auf bestimmte Systemkonfigurationen zu beschränken.
Im nächsten Schritt lädt DigitStealer nach und nach vier separate Payloads herunter. Diese Payloads basieren zum Teil auf JXA (JavaScript for Automation) und exfiltrieren beispielsweise Browser-Daten von Chrome, Edge oder Firefox oder Kryptowallet-Dateien von Ledger, Electrum, Exodus und anderen. Die Payloads werden direkt im Speicher ausgeführt, sodass sie nur minimale Spuren im System hinterlassen und eine forensische Rekonstruktion und Analyse des Angriffs schwierig bis unmöglich machen.
Relevanz und Implikationen
Infostealer erfreuen sich bei Angreifern weiterhin zunehmender Beliebtheit und das Ökosystem dieser Bedrohungen wächst kontinuierlich. Zwar verfolgen die meisten Infostealer dieselben Kernziele und sind in der Ausführung ihrer Kernfunktion relativ linear, aber gelegentlich fallen bestimmte Infostealer – wie DigitStealer – durch neue Ansätze oder kreative Implementierungen auf.
Dies deutet darauf hin, dass die Angreifer hinter DigitStealer ein tiefgreifendes Verständnis von macOS-Betriebssystemen aufweisen. Insbesondere die Aufteilung der Payloads und die Nutzung von Hardware-Prüfungen, um die Ausführung von DigitStealer bei bestimmten Systemkonfigurationen zu verhindern, zeigt, dass die Angreifer über ein hohes Maß an technischer Expertise bei der Entwicklung von macOS-spezifischen Bedrohungen verfügen.
