{"id":1149173,"date":"2024-01-23T19:55:15","date_gmt":"2024-01-23T19:55:15","guid":{"rendered":"https:\/\/teknomers.com\/es\/activador-alerta-el-malware-de-macos-se-esconde-en-aplicaciones-descifradas-y-apunta-a-carteras-criptograficas\/"},"modified":"2024-01-23T19:55:19","modified_gmt":"2024-01-23T19:55:19","slug":"activador-alerta-el-malware-de-macos-se-esconde-en-aplicaciones-descifradas-y-apunta-a-carteras-criptograficas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/activador-alerta-el-malware-de-macos-se-esconde-en-aplicaciones-descifradas-y-apunta-a-carteras-criptograficas\/","title":{"rendered":""Activador" Alerta: El malware de MacOS se esconde en aplicaciones descifradas y apunta a carteras criptogr\u00e1ficas"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>23 de enero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Malware \/ Criptomoneda<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha observado que el software descifrado infecta a los usuarios de Apple macOS con un malware ladr\u00f3n no documentado previamente capaz de recopilar informaci\u00f3n del sistema y datos de billeteras de criptomonedas.<\/p>\n

Kaspersky, que identific\u00f3 los artefactos en la naturaleza, dicho<\/a> est\u00e1n dise\u00f1ados para apuntar a m\u00e1quinas que ejecutan macOS Ventura 13.6 y posteriores, lo que indica la capacidad del malware para infectar Mac con arquitecturas de procesadores de silicio Intel y Apple.<\/p>\n

Las cadenas de ataque aprovechan archivos de imagen de disco (DMG) con trampas explosivas que incluyen un programa llamado “Activador” y una versi\u00f3n pirateada de software leg\u00edtimo como xScope.<\/p>\n

Se insta a los usuarios que terminen abriendo los archivos DMG a mover ambos archivos a la carpeta Aplicaciones y ejecutar el componente Activador para aplicar un supuesto parche y ejecutar la aplicaci\u00f3n xScope.<\/p>\n

\"La<\/a><\/center><\/div>\n

Sin embargo, al iniciar Activator, se muestra un mensaje que solicita a la v\u00edctima que ingrese la contrase\u00f1a del administrador del sistema, lo que le permite ejecutar un binario Mach-O con permisos elevados para iniciar el ejecutable xScope modificado.<\/p>\n

“El truco era que los actores maliciosos hab\u00edan tomado versiones de la aplicaci\u00f3n previamente descifradas y hab\u00edan agregado unos pocos bytes al comienzo del ejecutable, deshabilit\u00e1ndolo para que el usuario iniciara Activator”, dijo el investigador de seguridad Sergey Puzan.<\/p>\n

La siguiente etapa implica establecer contacto con un servidor de comando y control (C2) para recuperar un script cifrado. La URL C2, por su parte, se construye combinando palabras de dos listas codificadas y a\u00f1adiendo una secuencia aleatoria de cinco letras como nombre de dominio de tercer nivel<\/a>.<\/p>\n

\"Carteras<\/a><\/div>\n

Luego se env\u00eda una solicitud de DNS para este dominio para recuperar tres Registros DNS TXT<\/a>cada uno de los cuales contiene un fragmento de texto cifrado codificado en Base64 que se descifra y ensambla para construir un script de Python que, a su vez, establece persistencia y funciona como un descargador al comunicarse con “apple-health[.]org” cada 30 segundos para descargar y ejecutar la carga \u00fatil principal.<\/p>\n

“Esta era una forma bastante interesante e inusual de contactar a un servidor de comando y control y ocultar la actividad dentro del tr\u00e1fico, y garantizaba la descarga de la carga \u00fatil, ya que el mensaje de respuesta proven\u00eda del servidor DNS”, explic\u00f3 Puzan, describi\u00e9ndolo como “en serio”. ingenioso.”<\/p>\n

La puerta trasera, mantenida y actualizada activamente por el actor de la amenaza, est\u00e1 dise\u00f1ada para ejecutar comandos recibidos, recopilar metadatos del sistema y verificar la presencia de billeteras Exodus y Bitcoin Core en el host infectado.<\/p>\n

\"La<\/a><\/center><\/div>\n

Si se encuentran, las aplicaciones se reemplazan por versiones troyanizadas descargadas del dominio “apple-analyser[.]com” que est\u00e1n equipados para filtrar la frase inicial, la contrase\u00f1a de desbloqueo de la billetera, el nombre y el saldo a un servidor controlado por el actor.<\/p>\n

“La carga \u00fatil final era una puerta trasera que pod\u00eda ejecutar cualquier script con privilegios de administrador y reemplazar las aplicaciones de billetera criptogr\u00e1fica Bitcoin Core y Exodus instaladas en la m\u00e1quina con versiones infectadas que robaban frases secretas de recuperaci\u00f3n en el momento en que se desbloqueaba la billetera”, dijo Puzan.<\/p>\n

El desarrollo se produce cuando el software crackeado se est\u00e1 convirtiendo cada vez m\u00e1s en un conducto para comprometer a los usuarios de macOS con una variedad de malware, incluidos Trojan-Proxy y ZuRu.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n