Rastreando o DigitStealer: Como Padrões do Operador Exporam a Infraestrutura C2

Uma análise da infraestrutura do DigitStealer, um infostealer para macOS que visa 18 carteiras de criptomoedas e dispositivos Apple M2, revelou que o uso consistente pelo operador de um único ASN sueco (ab stract ltd), registro de domínio Tucows, nameservers Njalla e versões idênticas do OpenSSH criou uma impressão digital que permitiu o agrupamento de domínios C2 não relatados anteriormente. ️‍️

O malware atua como um backdoor persistente via Launch Agent, consultando os endpoints C2 a cada 10 segundos e empregando um mecanismo criptográfico de desafio-resposta para anti-análise, enquanto se comunica por quatro endpoints de API distintos para roubo de credenciais, exfiltração de arquivos e execução de comandos. A uniformidade da infraestrutura sugere fortemente uma campanha fechada, com um único operador, em vez de um modelo MaaS — um lembrete de que, quando os agentes de ameaça priorizam a eficiência em detrimento da segurança operacional, os defensores podem explorar esses padrões para identificar e neutralizar proativamente os ativos C2. ️