Se ha observado que el software descifrado infecta a los usuarios de Apple macOS con un malware ladrón no documentado previamente capaz de recopilar información del sistema y datos de billeteras de criptomonedas.
Kaspersky, que identificó los artefactos en la naturaleza, dicho están diseñados para apuntar a máquinas que ejecutan macOS Ventura 13.6 y posteriores, lo que indica la capacidad del malware para infectar Mac con arquitecturas de procesadores de silicio Intel y Apple.
Las cadenas de ataque aprovechan archivos de imagen de disco (DMG) con trampas explosivas que incluyen un programa llamado «Activador» y una versión pirateada de software legítimo como xScope.
Se insta a los usuarios que terminen abriendo los archivos DMG a mover ambos archivos a la carpeta Aplicaciones y ejecutar el componente Activador para aplicar un supuesto parche y ejecutar la aplicación xScope.
Sin embargo, al iniciar Activator, se muestra un mensaje que solicita a la víctima que ingrese la contraseña del administrador del sistema, lo que le permite ejecutar un binario Mach-O con permisos elevados para iniciar el ejecutable xScope modificado.
«El truco era que los actores maliciosos habían tomado versiones de la aplicación previamente descifradas y habían agregado unos pocos bytes al comienzo del ejecutable, deshabilitándolo para que el usuario iniciara Activator», dijo el investigador de seguridad Sergey Puzan.
La siguiente etapa implica establecer contacto con un servidor de comando y control (C2) para recuperar un script cifrado. La URL C2, por su parte, se construye combinando palabras de dos listas codificadas y añadiendo una secuencia aleatoria de cinco letras como nombre de dominio de tercer nivel.
Luego se envía una solicitud de DNS para este dominio para recuperar tres Registros DNS TXTcada uno de los cuales contiene un fragmento de texto cifrado codificado en Base64 que se descifra y ensambla para construir un script de Python que, a su vez, establece persistencia y funciona como un descargador al comunicarse con «apple-health[.]org» cada 30 segundos para descargar y ejecutar la carga útil principal.
«Esta era una forma bastante interesante e inusual de contactar a un servidor de comando y control y ocultar la actividad dentro del tráfico, y garantizaba la descarga de la carga útil, ya que el mensaje de respuesta provenía del servidor DNS», explicó Puzan, describiéndolo como «en serio». ingenioso.»
La puerta trasera, mantenida y actualizada activamente por el actor de la amenaza, está diseñada para ejecutar comandos recibidos, recopilar metadatos del sistema y verificar la presencia de billeteras Exodus y Bitcoin Core en el host infectado.
Si se encuentran, las aplicaciones se reemplazan por versiones troyanizadas descargadas del dominio «apple-analyser[.]com» que están equipados para filtrar la frase inicial, la contraseña de desbloqueo de la billetera, el nombre y el saldo a un servidor controlado por el actor.
«La carga útil final era una puerta trasera que podía ejecutar cualquier script con privilegios de administrador y reemplazar las aplicaciones de billetera criptográfica Bitcoin Core y Exodus instaladas en la máquina con versiones infectadas que robaban frases secretas de recuperación en el momento en que se desbloqueaba la billetera», dijo Puzan.
El desarrollo se produce cuando el software crackeado se está convirtiendo cada vez más en un conducto para comprometer a los usuarios de macOS con una variedad de malware, incluidos Trojan-Proxy y ZuRu.