O malware DigitStealer, um ladrão de informações sofisticado que tem como alvo sistemas macOS, registrou um aumento recente em sua atividade, atraindo a atenção da comunidade de segurança cibernética. A ameaça, que surgiu no final de 2025, se destaca por focar especificamente em dispositivos com chip Apple M2.
O que o DigitStealer rouba
O malware opera principalmente coletando dados sensíveis dos usuários. Seu alvo inclui informações de 18 carteiras de criptomoedas diferentes, dados de navegadores e entradas do keychain do macOS. Ao contrário de muitos infostealers modernos que funcionam como parte de um ecossistema de Malware-as-a-Service (MaaS), o DigitStealer não possui um painel web para afiliados, sugerindo fortemente que é gerenciado por um operador privado ou por uma equipe pequena e exclusiva.
Vetor de infecção e persistência
O vetor primário de infecção envolve a distribuição do malware disfarçado de aplicativos legítimos, como a ferramenta de produtividade "DynamicLake". Uma vez que o usuário instala o software comprometido, o malware inicia um processo de infecção em múltiplos estágios. Ele estabelece persistência na máquina da vítima criando um Launch Agent, o que garante que o código malicioso seja executado automaticamente. Essa capacidade de backdoor permite que o atacante mantenha acesso de longo prazo, consultando o servidor de comando e controle (C2) a cada 10 segundos em busca de novos payloads em AppleScript ou JavaScript para executar diferentes funções maliciosas no dispositivo.
Infraestrutura centralizada e padrões expostos
Analistas da Cyber and Ramen identificaram que a infraestrutura do malware revela uma falta distinta de diversidade, apontando para uma operação centralizada. A investigação destacou que os servidores de comando do malware estão agrupados dentro de redes de hospedagem específicas, frequentemente usando padrões consistentes de registro de domínio por meio de provedores como Tucows e nameservers da Njalla. Essa falha na segurança operacional forneceu aos pesquisadores indicadores valiosos para rastrear a ameaça. Ao analisar esses padrões, as equipes de segurança podem identificar e bloquear melhor as tentativas de comunicação entre dispositivos infectados e a infraestrutura do atacante.
Táticas de evasão e comunicação
Uma análise mais detalhada do comportamento técnico do DigitStealer revela um mecanismo complexo projetado para evadir detecção e análise. O malware se comunica com seu servidor C2 por meio de quatro endpoints de API específicos: /api/credentials, /api/grabber, /api/poll e /api/log, que lidam com tarefas como exfiltração de credenciais e uploads de arquivos. Para impedir que pesquisadores de segurança analisem facilmente esses servidores, o malware implementa um sistema criptográfico de desafio-resposta. Antes de o servidor emitir qualquer comando, ele envia uma string de "desafio" única e um nível de complexidade para o cliente infectado.
O malware deve resolver esse quebra-cabeça computacional fazendo o hash da string de desafio com um número gerado para corresponder a um padrão específico. Somente após resolver com sucesso esse desafio é que o servidor concede um token de sessão válido. Esse recurso anti-análise garante que scanners automatizados não possam interagir facilmente com o servidor de comando. Além disso, o malware envia o UUID de hardware do sistema, com hash MD5, para o C2, criando uma impressão digital digital reconhecível para os defensores monitorarem e analisarem ativamente.