Un nuevo malware que roba información se ha fijado en el sistema operativo macOS de Apple para desviar información confidencial de los dispositivos comprometidos.
Doblado Ladrón de Mac, es el último ejemplo de una amenaza que utiliza Telegram como una plataforma de comando y control (C2) para filtrar datos. Afecta principalmente a dispositivos que ejecutan macOS versiones Catalina y posteriores que se ejecutan en CPU M1 y M2.
«MacStealer tiene la capacidad de robar documentos, cookies del navegador de la víctima e información de inicio de sesión», los investigadores de Uptycs, Shilpesh Trivedi y Pratik Jeware. dicho en un nuevo informe.
Anunciado por primera vez en foros de piratería en línea por $ 100 a principios de mes, todavía es un trabajo en progreso, y los autores de malware planean agregar funciones para capturar datos del navegador Safari de Apple y la aplicación Notes.
En su forma actual, MacStealer está diseñado para extraer datos, contraseñas e información de tarjetas de crédito del llavero de iCloud de navegadores como Google Chrome, Mozilla Firefox y Brave. También cuenta con soporte para recopilar archivos, imágenes, archivos y scripts de Python de Microsoft Office.
Se desconoce el método exacto utilizado para entregar el malware, pero se propaga como un archivo DMG (hierba.dmg) que, cuando se ejecuta, abre una solicitud de contraseña falsa para recopilar las contraseñas con el pretexto de buscar acceso a la aplicación Configuración del sistema.
Mac Stealer es uno de varios ladrones de información que han surgido en los últimos meses y se suma a una gran cantidad de herramientas similares actualmente en circulación.
Esto también incluye otra pieza de malware nuevo basado en C# llamado HookSpoofer eso es inspirado por TormentaKitty y viene con capacidades de keylogging y clipper y transmite los datos robados a un bot de Telegram.
Otro malware notable que roba cookies del navegador es Ducktail, que también usa un bot de Telegram para filtrar datos y resurgió a mediados de febrero de 2023 con tácticas mejoradas para eludir la detección.
Esto implica «cambiar la infección inicial de un archivo que contiene un ejecutable malicioso a un archivo que contiene un archivo LNK malicioso que iniciaría la cadena de infección», dijo Simon Kenin, investigador de Deep Instinct. dicho a principios de este mes.
El malware ladrón generalmente se propaga a través de diferentes canales, incluidos archivos adjuntos de correo electrónico, descargas de software falso y otras técnicas de ingeniería social.
Aprenda a proteger el perímetro de identidad: estrategias comprobadas
Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!
Para mitigar tales amenazas, se recomienda que los usuarios mantengan su sistema operativo y software de seguridad actualizados y eviten descargar archivos o hacer clic en enlaces de fuentes desconocidas.
«A medida que las Mac se han vuelto cada vez más populares en la empresa entre los equipos de liderazgo y desarrollo, los datos almacenados en ellas son más importantes para los atacantes», dijo Phil Stokes, investigador de SentinelOne. dicho la semana pasada.
Se filtra el código fuente de MacStealer
La firma de seguridad cibernética Trend Micro, en un informe técnico independiente publicado el 30 de marzo, reveló que el código fuente del malware se filtró a través de un servicio de escaneo público en línea.
«El malware se está propagando actualmente a través de sitios web de terceros utilizando imágenes y gráficos extraídos de P2E real [play-to-earn] y promocionadas en las redes sociales y plataformas de mensajería Twitter, Discord y Telegram», los investigadores Qi Sun y Luis Magisa dicho.
«Los actores de amenazas detrás del malware se hacen pasar por una compañía de juegos legítima que busca probadores y atrae a las víctimas potenciales para que descarguen su aplicación. Publican ofertas de trabajo falsas y atraen a los buscadores de empleo para que descarguen su binario de malware».
MacStealer, además de desviar la información del navegador y del llavero iCloud, presenta capacidades para robar datos de billeteras de criptomonedas como Binance, Exodus, Keplr, MetaMask, Phantom y Trust Wallet y vaciarlas.
«Usa rompecadenas para volcar el llavero», explicaron los investigadores. «Abre un cuadro de diálogo para defraudar la contraseña del usuario usando osascript.»
Trend Micro dijo además que los ciberdelincuentes detrás de la campaña de ingeniería social abusaron de Twitter nuevos requisitos de verificación pagados para obtener una insignia azul Verificada, que proporciona una «ilusión de legitimidad» para distribuir las aplicaciones no autorizadas.