23 de enero de 2024Sala de prensaSe ha observado que software descifrado de malware/criptomonedas infecta a los usuarios de Apple macOS con un malware ladrón no documentado previamente capaz de recopilar información del sistema y datos de billeteras de criptomonedas. Kaspersky, que identificó los artefactos en la naturaleza, dijo que están diseñados para apuntar a máquinas que ejecutan macOS Ventura 13.6 y posteriores, lo que indica la capacidad del malware para infectar Mac con arquitecturas de procesadores de silicio Intel y Apple. Las cadenas de ataque aprovechan archivos de imagen de disco (DMG) con trampas explosivas que incluyen un programa llamado «Activador» y una versión pirateada de software legítimo como xScope. Se insta a los usuarios que terminen abriendo los archivos DMG a mover ambos archivos a la carpeta Aplicaciones y ejecutar el componente Activador para aplicar un supuesto parche y ejecutar la aplicación xScope. Sin embargo, al iniciar Activator, se muestra un mensaje que solicita a la víctima que ingrese la contraseña del administrador del sistema, lo que le permite ejecutar un binario Mach-O con permisos elevados para iniciar el ejecutable xScope modificado. «El truco era que los actores maliciosos habían tomado versiones de la aplicación previamente descifradas y habían agregado unos pocos bytes al comienzo del ejecutable, deshabilitándolo para que el usuario iniciara Activator», dijo el investigador de seguridad Sergey Puzan. La siguiente etapa implica establecer contacto con un servidor de comando y control (C2) para recuperar un script cifrado. La URL C2, por su parte, se construye combinando palabras de dos listas codificadas y agregando una secuencia aleatoria de cinco letras como un nombre de dominio de tercer nivel. Luego se envía una solicitud de DNS para este dominio para recuperar tres registros TXT de DNS, cada uno de los cuales contiene un fragmento de texto cifrado codificado en Base64 que se descifra y ensambla para construir un script de Python, que, a su vez, establece persistencia y funciona como un descargador al comunicarse con a «salud de manzana[.]org» cada 30 segundos para descargar y ejecutar la carga útil principal. «Esta era una forma bastante interesante e inusual de contactar a un servidor de comando y control y ocultar la actividad dentro del tráfico, y garantizaba la descarga de la carga útil, ya que el mensaje de respuesta provenía de el servidor DNS», explicó Puzan, describiéndolo como «realmente ingenioso». La puerta trasera, mantenida y actualizada activamente por el actor de la amenaza, está diseñada para ejecutar comandos recibidos, recopilar metadatos del sistema y verificar la presencia de billeteras Exodus y Bitcoin Core. en el host infectado. Si se encuentran, las aplicaciones se reemplazan por versiones troyanizadas descargadas del dominio «apple-analyser[.]com» que están equipados para filtrar la frase inicial, la contraseña de desbloqueo de la billetera, el nombre y el saldo a un servidor controlado por el actor. «La carga útil final fue una puerta trasera que podía ejecutar cualquier script con privilegios de administrador y reemplazar la billetera criptográfica Bitcoin Core y Exodus. aplicaciones instaladas en la máquina con versiones infectadas que robaban frases secretas de recuperación en el momento en que se desbloqueaba la billetera», dijo Puzan. El desarrollo se produce cuando el software crackeado se está convirtiendo cada vez más en un conducto para comprometer a los usuarios de macOS con una variedad de malware, incluyendo Trojan-Proxy y ZuRu. ¿Te ha parecido interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link