metastealer - RunkIntel

# MetaStealer > [!high] Infostealer macOS em Go - Empresas como Alvo, Roubo de Keychain > MetaStealer é um infostealer para macOS desenvolvido em Go, identificado pela SentinelOne em setembro de 2023. Distingue-se de outros infostealers macOS por ter foco explícito em ambientes corporativos: os operadores se passam por clientes potenciais ou parceiros de negócios para convencer vítimas a abrir DMGs maliciosos. Rouba credenciais do iCloud Keychain, dados do Telegram e arquivos do FileZilla. ## Visão Geral MetaStealer é um infostealer para macOS escrito em Go, analisado pela SentinelOne em setembro de 2023. O malware distingue-se no ecossistema de ameaças macOS por duas características: **Foco em empresas, não em consumidores**: A maioria dos infostealers macOS (como [[atomic-stealer|AMOS/Atomic Stealer]]) visa usuários individuais via software pirata. O MetaStealer adota engenharia social de nível mais sofisticado, com operadores se passando por potenciais clientes, parceiros de negócios ou fornecedores que "enviaram um arquivo para análise" - táticas mais características de APTs que de cibercrime massivo. **Keychain como alvo central**: O iCloud Keychain é o cofre de senhas integrado do macOS, protegendo credenciais de sites, aplicações, certificados e chaves privadas. O MetaStealer inclui código específico para extrair e exfiltrar o banco de dados do Keychain - uma capacidade que dá acesso a todo o ecossistema de senhas de uma vítima. O MetaStealer é compilado exclusivamente para Intel x86_64, não suportando nativamente Apple Silicon (M1/M2/M3) - embora possa ser executado via Rosetta 2 em Macs modernos. A comunicação C2 ocorre via TCP na porta 3000 para endereços IP diretamente referênciados no binário (sem domínios dinâmicos, o que facilita bloqueio mas indica desenvolvimento em andamento). Os samples analisados chegavam em DMG (imagens de disco) com nomes como `Advertising terms of reference.dmg`, `Brief_Prezentation.dmg` ou `Project Description.dmg` - temas coerentes com a engenharia social de contexto empresarial adotada. ## Capacidades de Roubo | Alvo | Dados Roubados | |------|----------------| | **iCloud Keychain** | Banco de dados completo de senhas, certificados e chaves privadas | | **Telegram** | Diretório tdata - acesso completo à conta sem necessidade de senha | | **FileZilla** | Credenciais de FTP armazenadas (sitemanager.xml) | | **Sistema** | Informações de hardware e configuração do macOS | | **Navegadores** | Credenciais de senhas (via acesso ao Keychain do sistema) | ## Como Funciona A cadeia de infecção do MetaStealer é projetada para enganar profissionais de negócios: ```mermaid graph TB A["💼 Engenharia Social Falso cliente/parceiro via email/Telegram"] --> B["📀 DMG Malicioso Imagem de disco com tema empresarial"] B --> C["⚙️ Execução Go Binário x86_64 Mac Intel ou Rosetta"] C --> D["🔑 iCloud Keychain Dump completo senhas e certificados"] D --> E["📱 Telegram tdata Sessão completa sem autenticação"] E --> F["📂 FileZilla Credenciais FTP sitemanager.xml"] F --> G["📡 Exfiltração TCP Porta 3000 para IP do C2"] ``` *Vetor social: pretexto de negócios via email/Telegram* ## Análise Técnica **Implementação em Go:** O Go foi escolhido por diversas razões táticas: binários Go são estáticos (sem dependências externas), multiplataforma com recompilação mínima, e historicamente tinham baixa detecção em motores antivírus no macOS. A análise SentinelOne revelou bibliotecas Go padrão para networking e estruturas de dados, com lógica de roubo implementada em Go puro. **Endereços C2 hardcoded:** Ao contrário de malware mais sofisticado que usa DGA (Domain Generation Algorithms) ou dead drop resolvers, o MetaStealer tem endereços IP de C2 hardcoded no binário. Isso simplifica rastreamento e bloqueio, mas sugere um malware ainda em desenvolvimento inicial. **Comparação com AMOS/Atomic Stealer:** ```mermaid graph TB subgraph MetaStealer MS_LANG["Go Compilado estático"] MS_ALVO["Empresas Engenharia social B2B"] MS_ALVO2["iCloud Keychain Telegram tdata"] MS_DIST["Distribuição direta por operadores"] end subgraph AMOS Atomic Stealer AT_LANG["Swift/ObjC Native macOS"] AT_ALVO["Consumidores Software pirata"] AT_ALVO2["Navegadores Carteiras cripto"] AT_DIST["MaaS via Telegram USD 1000/mês"] end ``` *Relacionado: [[atomic-stealer|AMOS/Atomic Stealer]]* ## TTPs MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1555.001 | Keychain | Coleta | iCloud Keychain - banco de dados completo | | T1555.003 | Credentials from Web Browsers | Coleta | Credenciais via acesso ao Keychain | | T1082 | System Information Discovery | Reconhecimento | Informações de hardware e macOS | | T1041 | Exfiltration over C2 Channel | Exfiltração | TCP porta 3000 para IP hardcoded | | T1566.001 | Spearphishing Attachment | Acesso Inicial | DMG com pretexto empresarial | | T1204.002 | Malicious File | Execução | Vítima abre DMG manualmente | | T1027 | Obfuscated Files | Evasão | Ofuscação de strings no binário Go | ## Relevância Brasil e LATAM O MetaStealer é relevante para o ambiente brasileiro porque: 1. **Macs corporativos crescendo**: Empresas de tecnologia, agências criativas, consultorias e startups no Brasil adotam macOS em escala crescente. A crença histórica de que "Macs são seguros" reduz a vigilância dos usuários 2. **Engenharia social B2B**: O pretexto de "cliente potencial" é especialmente eficaz no Brasil, onde reuniões de negócios por Telegram e WhatsApp são comuns. Executivos acostumados a receber PDFs e apresentações via mensagem são alvos naturais 3. **Keychain como jackpot**: Para profissionais que usam Mac como estação principal, o Keychain contém credenciais de VPNs corporativas, sistemas bancários, plataformas cloud (AWS, GCP) - um comprometimento do Keychain pode ser catastrófico ## Detecção e Defesa **Indicadores comportamentais:** - Processo Go executando no macOS acessando `~/Library/Keychains/` - Acesso ao diretório `~/Library/Application Support/Telegram Desktop/tdata/` por processo não-Telegram - Arquivo DMG montado executando binário que estabelece conexão TCP para porta 3000 - `xattr -d com.apple.quarantine` executado em arquivo DMG (bypassa Gatekeeper) **Mitigações prioritárias:** - Ativar e respeitar alertas do macOS Gatekeeper - DMGs não assinados devem ser tratados com suspeita máxima - Autenticação de aplicações antes de acesso ao Keychain (macOS solicita senha ao app ao acessar o Keychain) - EDR para macOS com detecção de acesso não autorizado ao Keychain (Crowdstrike Falcon, SentinelOne) - Treinamento de colaboradores que usam Mac: nunca abrir DMGs ou PKGs recebidos por email/Telegram sem verificação ## Referências - [1](https://www.sentinelone.com/blog/macos-metastealer-new-family-of-obfuscated-go-malware-targeting-businesses/) SentinelOne - macOS MetaStealer: New Family of Obfuscated Go Malware (2023) - [2](https://malpedia.caad.fkie.fraunhofer.de/details/osx.metastealer) Malpedia - MetaStealer (macOS) - [3](https://www.bleepingcomputer.com/news/security/new-metastealer-malware-targets-macos-businesses-steals-passwords/) BleepingComputer - MetaStealer Targets macOS Businesses (2023) - [4](https://attack.mitre.org/techniques/T1555/001/) MITRE ATT&CK - T1555.001 Keychain - [5](https://objective-see.org/blog.html) Objective-See - macOS Malware Annual Report (Patrick Wardle)