{"id":1142579,"date":"2024-01-19T13:58:22","date_gmt":"2024-01-19T13:58:22","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-expertos-advierten-sobre-la-puerta-trasera-de-macos-oculta-en-versiones-pirateadas-de-software-popular\/"},"modified":"2024-01-19T13:58:26","modified_gmt":"2024-01-19T13:58:26","slug":"los-expertos-advierten-sobre-la-puerta-trasera-de-macos-oculta-en-versiones-pirateadas-de-software-popular","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-expertos-advierten-sobre-la-puerta-trasera-de-macos-oculta-en-versiones-pirateadas-de-software-popular\/","title":{"rendered":"Los expertos advierten sobre la puerta trasera de macOS oculta en versiones pirateadas de software popular"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>19 de enero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Malware\/Seguridad de terminales<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha observado que las aplicaciones pirateadas dirigidas a usuarios de Apple macOS contienen una puerta trasera capaz de otorgar a los atacantes control remoto de las m\u00e1quinas infectadas.<\/p>\n

“Estas aplicaciones se alojan en sitios web piratas chinos para conseguir v\u00edctimas”, afirman Ferdous Saljooki y Jaron Bradley, investigadores de Jamf Threat Labs. dicho<\/a>.<\/p>\n

“Una vez detonado, el malware descargar\u00e1 y ejecutar\u00e1 m\u00faltiples cargas \u00fatiles en segundo plano para comprometer secretamente la m\u00e1quina de la v\u00edctima”.<\/p>\n

Los archivos de imagen de disco con puerta trasera (DMG), que han sido modificados para establecer comunicaciones con la infraestructura controlada por el actor, incluyen software leg\u00edtimo como Navicat Premium, UltraEdit, FinalShell, SecureCRT y Microsoft Remote Desktop.<\/p>\n

\"La<\/a><\/center><\/div>\n

Las aplicaciones no firmadas, adem\u00e1s de estar alojadas en un sitio web chino llamado macyy[.]cn, incorpora un componente dropper llamado “dylib” que se ejecuta cada vez que se abre la aplicaci\u00f3n.<\/p>\n

Luego, el dropper act\u00faa como un conducto para recuperar una puerta trasera (“bd.log”), as\u00ed como un descargador (“fl01.log”) desde un servidor remoto, que se utiliza para configurar la persistencia y recuperar cargas \u00fatiles adicionales en la m\u00e1quina comprometida. .<\/p>\n

La puerta trasera, escrita en la ruta “\/tmp\/.test”, tiene todas las funciones y est\u00e1 construida sobre un conjunto de herramientas de posexplotaci\u00f3n de c\u00f3digo abierto llamado khepri<\/a>. El hecho de que est\u00e9 ubicado en el directorio “\/tmp” significa que se eliminar\u00e1 cuando se apague el sistema.<\/p>\n

Dicho esto, se crear\u00e1 nuevamente en la misma ubicaci\u00f3n la pr\u00f3xima vez que se cargue la aplicaci\u00f3n pirateada y se ejecute el dropper.<\/p>\n

Por otro lado, el descargador se escribe en la ruta oculta “\/Users\/Shared\/.fseventsd”, despu\u00e9s de lo cual crea un LaunchAgent para garantizar la persistencia y env\u00eda una solicitud HTTP GET a un servidor controlado por el actor.<\/p>\n

Si bien ya no se puede acceder al servidor, el descargador est\u00e1 dise\u00f1ado para escribir la respuesta HTTP en un nuevo archivo ubicado en \/tmp\/.fseventsds y luego ejecutarlo.<\/p>\n

\"La<\/a><\/center><\/div>\n

Jamf dijo que el malware comparte varias similitudes con ZuRu<\/a>que ha sido observado<\/a> en el pasado se propagaba a trav\u00e9s de aplicaciones pirateadas en sitios chinos.<\/p>\n

“Es posible que este malware sea un sucesor del malware ZuRu dadas sus aplicaciones espec\u00edficas, sus comandos de carga modificados y su infraestructura atacante”, dijeron los investigadores.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n