Xcode devs, beware: a new macOS malware variant is sneaking into projects by disguising itself as a trusted app—and even hijacking clipboard crypto transactions. Curious how it evades detection?

https://thedefendopsdiaries.com/xcsset-macos-malware-evolves-new-variant-targets-xcode-developers-with-advanced-stealth-and-persistence/

#xcsset
#macosmalware
#xcode
#supplychainattack
#cybersecurity
#malwareanalysis
#obfuscation
#cryptotheft
#browsersecurity

Moonlock analysed Mac.c stealer, a new rival to AMOS. Learn its tactics, code reuse, and "building in public" strategy. https://hackernoon.com/macc-stealer-takes-on-amos-a-new-rival-shakes-up-the-macos-infostealer-market #macosmalware

Nowe złośliwe oprogramowanie „NimDoor” atakuje użytkowników macOS

Zespół SentinelLabs ujawnił kampanię hakerską prowadzoną przez grupę powiązaną z Koreą Północną (DPRK), która wykorzystuje fałszywe zaproszenia Zoom do infekowania komputerów Mac złośliwym oprogramowaniem nazwanym NimDoor.

To jeden z najbardziej zaawansowanych ataków na macOS, skierowany głównie w startupy z sektora Web3 i kryptowalut.

Jak działa atak?

1. Podszywanie się pod znajomego na Telegramie – ofiara zapraszana jest na spotkanie przez Calendly.
2. W e-mailu pojawia się fałszywy link do aktualizacji SDK Zooma – zawiera plik z ponad 10 000 pustych linii kodu, by ukryć funkcję.
3.  Po uruchomieniu, malware:
   • nawiązuje zaszyfrowane połączenie przez WebSocket Secure (wss) z serwerem kontrolującym,
   • utrzymuje dostęp po restarcie systemu, wykorzystując sygnały SIGINT/SIGTERM,
   • eksportuje dane z Keychaina, przeglądarek i Telegrama przy użyciu skryptów Bash,
   • wykorzystuje AppleScript i język Nim, co jest rzadkością w malware na macOS.

Co czyni NimDoor wyjątkowym? Wykorzystuje język Nim – bardziej złożony i mniej wykrywany niż typowe Go, Python czy Bash. Wprowadza też nową technikę trwałości, działającą nawet po restarcie systemu. Posiada ponadto rozbudowany łańcuch infekcji, od socjotechniki po wieloetapowe backdoory.

Fałszywy plik aktualizacji zawiera ukryty kod, utrudniając analizę i wykrycie.

Jak się zabezpieczyć?

1. Nie pobieraj aktualizacji Zooma (ani innych aplikacji) spoza oficjalnych źródeł.
2. Zgłaszaj podejrzane zaproszenia do spotkań otrzymane przez Telegram lub e-mail.
3. Regularnie aktualizuj macOS i oprogramowanie zabezpieczające.
4. Używaj menedżera haseł i weryfikacji dwuetapowej.

#AppleScriptMalware #atakNaWeb3 #BashExfiltration #fakeZoomSDK #hakerzyZKoreiPółnocnej #kryptowalutyBezpieczeństwo #macOSMalware #macOSSpyware2025 #macOSZabezpieczenia #malwareNim #NimDoor #SentinelLabsRaport #zagrożeniaDlaStartupów #ZoomFałszywaAktualizacja

🔍 Understanding #macos #malware is crucial for any professional today.

Check out my in-depth guide on analyzing PKG files to enhance your skills in macOS #malwareanalysis Analysis: https://www.malwr4n6.com/post/macos-malware-analysis-pkg-files

@blacktop

#macosx #macosmalware #apple #macmalware #guide #dfir

Objective by the Sea slides/recordings are posted to their site. Check it out for great research on all things macOS security.

https://objectivebythesea.org/v7/talks.html

#obts #macosmalware #macos #threatintel #vulnerability

📬 Banshee Stealer Quellcode geleakt: macOS-Malware unschädlich gemacht
#ITSicherheit #Malware #BansheeStealer #ElasticSecurityLabs #macOS #macOSMalware #QuellcodeLeak #VXUnderground https://sc.tarnkappe.info/ad2a32

Neue macOS-Malware tarnt sich als beliebte Apps und stiehlt Daten
Sicherheitsforscher:innen haben eine neue macOS-Malware entdeckt, die darauf abzielt, die sensibelsten Daten der Nutzer:innen zu stehlen. Die Malwa
https://www.apfeltalk.de/magazin/news/neue-macos-malware-tarnt-sich-als-beliebte-apps-und-stiehlt-daten/
#Mac #News #CthulhuStealer #Cyberkriminalitt #Datensicherheit #Gatekeeper #iCloudSchlsselbund #MacAppStore #MacOSMalware #MacOSSequoia #MalwareSchutz #Sicherheitsbedrohungen

Cthulhu Stealer Strikes Apple Users in Latest MacOS Malware Attack
Attention all Apple users! It's time to batten down the hatches and protect your precious data because a new malware attack is on the loose. Cybersecurity researchers have discovered a sinister new threat known as the Cthulhu Stealer, targeting macOS users with its tentacles of destruction.
#CthulhuMalware #MacOSSecurity #AppleUsers #CyberAttack #MalwareAlert #TechNews #CyberSecurity #MacOSMalware #virus
https://cloudhosting.evostrix.eu/cthulhu-stealer-strikes-apple-users-in-latest-macos-malware-attack/

What is old is new again, #atomicstealer being distributed via #clearfake campaign. Haven't seen that in a while!

Clearfake domain: cejecuu4[.]xyz
C2: 193.124.185[.]23

Payload staged in Dropbox

#macosmalware #infostealers #amos #fakebrowserupdates #fakechrome

📬 XLoader: macOS-Malware tarnt sich als OfficeNote-Anwendung
#ITSicherheit #Malware #DineshDevadoss #Formbook #Keylogger #macOS #macOSMalware #OfficeNote #PhilStokes #SentinelOne #XLoader https://tarnkappe.info/artikel/it-sicherheit/xloader-macos-malware-tarnt-sich-als-officenote-anwendung-279902.html

🚨 New macOS malware "Realst" targets cryptocurrency wallets 🚨
Fake blockchain games like Brawl Earth & WildWorld distribute malware on social media. Realst steals data from web browsers & crypto wallets, sending it back to threat actors. Over 16 variants of Realst discovered, actively evolving. Beware of Discord & "verified" Twitter accounts promoting games. Stay vigilant, protect your crypto!

The article discusses a new Mac malware named 'Realst' that is being used in a massive campaign targeting Apple computers. Some of its latest variants include support for macOS 14 Sonoma, which is still in development.

Key Points:
The malware is distributed to both Windows and macOS users in the form of fake blockchain games.
These games are promoted on social media, with the threat actors using direct messages to share access codes required to download the fake game client from associated websites.
The game installers infect devices with information-stealing malware, such as RedLine Stealer on Windows and Realst on macOS.
This type of malware will steal data from the victim's web browsers and cryptocurrency wallet apps and send them back to the threat actors.
SentinelOne analyzed 59 Mach-O samples of the Realst malware and found several distinct differences. This allowed the researchers to identify 16 variants of the macOS malware, a sign of active and rapid development.
The malware targets Firefox, Chrome, Opera, Brave, Vivaldi, and the Telegram app, but none of the analyzed Realst samples target Safari.
The 16 distinct variants are categorized into four main families based on their traits, namely A, B, C, and D.
Roughly 30% of the samples from families A, B, and D contain strings that target the upcoming macOS 14 Sonoma.
MacOS users are advised to be cautious with blockchain games, as those distributing Realst use Discord channels and "verified" Twitter accounts to create a false image of legitimacy.
The main goal is likely to steal crypto wallets and the funds within them, leading to costly attacks.

This summary is based on an article from BleepingComputer titled 'New Realst macOS malware steals your cryptocurrency wallets'. You can find it here: https://www.bleepingcomputer.com/news/security/new-realst-macos-malware-steals-your-cryptocurrency-wallets/

#CyberSecurity #Malware #Cryptocurrency #MacOSMalware #Realst #CyberThreat #Cryptowallets #SecurityAlert

MacOS Users Targeted By OceanLotus Backdoor - The new backdoor comes with multiple payloads and new detection evasion tactics. https://threatpost.com/macos-users-targeted-oceanlotus-backdoor/161655/ #vietnamesecyberattack #microsoftword #oceanlotusapt #macosmalware #oceanlotus #ziparchive #backdoor #malware #payload #apt32 #macos