Una nueva campaña Atomic MacOS Stealer (AMOS) está dirigida a los usuarios de MacOS disfrazando el malware como versiones «agrietadas» de aplicaciones legítimas, han advertido los micro investigadores. La campaña está diseñada para ayudar a los ciberdelincuentes a superar las recientes mejoras de seguridad de Apple, que representan una «adaptación táctica significativa», encontraron los investigadores. «Si bien las protecciones de Gatekeeper mejoradas de MacOS Sequoia bloquearon con éxito las infecciones tradicionales basadas en .dmg, los actores de amenaza giraron rápidamente a los métodos de instalación basados ​​en terminales que demostraron ser más efectivos para evitar los controles de seguridad», señalaron. Las víctimas son atraídas a la instalación del InforeTealer a través de técnicas de ingeniería social, ya sea descargando un instalador .dmg malicioso disfrazarse de una aplicación agrietada o, después de que se le pide que copie y pegue los comandos en la terminal de macOS, que se asemeja a la técnica falsa de Captcha. Una vez instalado, AMOS establece la persistencia antes de robar datos confidenciales del sistema de la víctima. Esto incluye credenciales, datos del navegador, billeteras de criptomonedas, chats de telegrama, perfiles VPN, elementos de llavero, notas de Apple y archivos de carpetas comunes. La cadena de infección de Amos y la entrega del informe de tendencia, publicado el 4 de septiembre, observó que los atacantes intentan obtener acceso inicial a los sistemas a través de descargas de software agrietados. Los usuarios afectados visitaron el sitio web HAXMAC[.]CC varias veces. Esta URL aloja varios programas de software descifrados para MacOS. haxmac[.]Sitio web de CC, que aloja el software «Cracked» para MacOS. Fuente: Trend Micro En los casos analizados, los usuarios buscaron y descargaron específicamente «CleanMymac» en sus máquinas. Este es un programa legítimo que se puede descargar desde la App Store. «Sin embargo, descargar el programa de una fuente no confiable, como se ve en estos casos, pone en riesgo la máquina y la organización porque estos programas agrietados podrían estar inclinados con malware o troyanizado por actores de amenazas», señalaron los investigadores. Después de descargar el software Cracked, las víctimas son redirigidas a la página de destino de Amos, lo que les pide que haga clic en «Descargar para macOS» o se les indica que copie y peguen comandos maliciosos en la terminal de Apple. Esta página parece realizar huellas dactilares del sistema operativo, determinando si el visitante está usando Windows o macOS antes de redirigirlos a la página de carga útil correspondiente. Se observó que varios dominios diferentes actúan como redirectores, mientras que el destino de redirección cambia con cada visita para ayudar a evitar la detección. Sin embargo, las instrucciones en las páginas siguen siendo idénticas. Además, el actor de amenaza utiliza la rotación frecuente del dominio y la URL para sus comandos de descarga, que probablemente evaden detecciones y derribos basados ​​en URL estáticos. «Como resultado, se espera que los dominios y las URL cambien con el tiempo», dijeron los investigadores. Ambas acciones conducen a la ejecución de un script de instalación malicioso. Este script descarga un archivo Applecript «Actualizar» en el directorio TEMP. Un archivo de script ‘com.finder.helper.plist’ configura un macOS LaunchDaemon para ejecutar continuamente el ‘. Script de agente ‘, que luego se ejecuta en un bucle infinito para detectar el usuario iniciado y ejecutar el binario oculto. El archivo binario establece la persistencia al recuperar el nombre de usuario del usuario iniciado actualmente, excluyendo root. Una vez que se ejecuta el script, copia datos confidenciales del sistema comprometido. Los investigadores dijeron que el tipo de información robada por AMOS plantea riesgos significativos aguas abajo para las empresas, así como para las personas dirigidas. Esto incluye relleno de credenciales, robo financiero o más intrusiones en los sistemas empresariales. Los investigadores instaron a las organizaciones a implementar estrategias de defensa en profundidad que no dependen únicamente de las protecciones del sistema operativo incorporado para proteger contra las tácticas utilizadas en esta campaña. Crédito de la imagen: Igorgolovniov/Shutterstock.com URL de publicación original: https://www.infosecurity-magazine.com/news/macos-stealer-cracked-apps-bypass/