DigitStealer: novo infostealer mira Macs com Apple Silicon e evita VMs | Riscos e Ameaças

Jamf identificou DigitStealer, infostealer para macOS distribuído em DynamicLake.dmg e que realiza checagens de hardware para rodar apenas em Apple Silicon M2+. O malware baixa quatro payloads via CDN (Cloudflare) para roubo de credenciais, comprometimento de carteiras e modificação de apps como Ledger Live.

Pesquisadores da Jamf identificaram uma família de infostealers para macOS — batizada DigitStealer — que emprega checagens de hardware e múltiplos payloads para reduzir a chance de análise e maximizar furtividade.

Descoberta e vetor de propagação

DigitStealer foi descoberto em uma imagem de disco não assinada chamada DynamicLake.dmg, distribuída como uma versão falsa de aplicações populares para macOS. O instalador enganoso continha um ficheiro rotulado “Drag Into Terminal.msi” que, ao ser executado conforme instrução do instalador malicioso, inicia a cadeia de infecção.

Na data da descoberta, motores de antivírus no VirusTotal não detectavam a ameaça, segundo a Jamf, o que elevou o risco inicial de disseminação.

Evasão por checagem de hardware

O comportamento distintivo do DigitStealer é a verificação exaustiva de hardware antes da execução do payload principal. O malware consulta informações do sistema e busca indícios de ambientes virtuais (palavras como “Virtual” ou “VM”). Além disso, faz chamadas a sysctl para checar recursos ARM avançados — executes citadas nas análises incluem:

sysctl -n hw.optional.arm.FEAT_BTI
sysctl -n hw.optional.arm.FEAT_SSBS
sysctl -n hw.optional.arm.FEAT_ECV

Esses testes restringem a execução a Macs com Apple Silicon mais recentes (Jamf cita M2 e superiores) e descartam sistemas Intel e até M1, reduzindo a exposição em ambientes de pesquisa que frequentemente usam VMs ou hardware legado.

Arquitetura e payloads

Após passar nas verificações, o instalador baixa quatro payloads distintos hospedados em serviços legítimos (a Jamf observou uso de infraestruturas Cloudflare para distribuição). Cada payload tem função específica: roubo de credenciais de navegadores, exfiltração de carteiras de criptomoeda, e até modificações em aplicações legítimas (ex.: Ledger Live) para facilitar fraudes.

Impacto e recomendações

O foco em Apple Silicon M2+ coloca como alvo usuários de hardware recente, incluindo organizações que migram esta base de máquinas. Recomendações práticas incluem: validar assinaturas de imagens e instaladores, proibir execução de binários baixados de fontes não verificadas, aplicar políticas de notarização/assinatura, e monitorar downloads que utilizem serviços de CDN legítimos para entrega de payloads.

Para detecção, a Jamf sugere observar comportamentos de pós‑exploração que envolvam chamadas ao sistema atípicas, downloads subsequentes de múltiplos artefatos e alterações em processos ligados a carteiras de criptomoeda ou apps de segurança.

Limitações da análise

A Jamf reporta indicadores e o perfil de evasão por hardware, mas não fornece contagem de vítimas ou distribuição geográfica detalhada. Tampouco há indicação de atribuição do autor da ameaça nas notas públicas.

Observação final

DigitStealer ilustra evolução do ecossistema macOS: evasão por hardware e uso de CDNs legítimos para hospedar payloads tornam a detecção mais difícil. Profissionais de segurança devem ajustar ambientes de testes para refletir hardware realista e endurecer controles de instalação de software no macOS.

Fonte

Relatório técnico da Jamf reproduzido pela Cyber Security News; todos os indicadores e comandos listados foram retirados da análise da Jamf.