Los investigadores de Kaspersky han descubierto un tipo único de malware para macOS. Este grupo de malware previamente desconocido se distribuye silenciosamente a través de aplicaciones pirateadas y apunta a las criptomonedas de los usuarios de macOS almacenadas en billeteras digitales. Este troyano de criptomonedas es único en dos sentidos: primero, utiliza registros DNS para ejecutar scripts Python maliciosos.
En segundo lugar, no sólo robó la billetera digital sino que también reemplazó la aplicación de billetera con una versión infectada. Esto le permite robar la frase de contraseña utilizada para acceder a la criptomoneda almacenada en la billetera. El malware se dirige a las versiones 13.6 y superiores de macOS, lo que sugiere que está dirigido a usuarios de sistemas operativos más nuevos con procesadores Intel y Apple Silicon.
La imagen de disco comprometida contiene el activador de destino y una aplicación. El disparador, que a primera vista parece inofensivo, activa la aplicación comprometida después de introducir la contraseña del usuario. Los atacantes utilizan versiones de aplicaciones previamente autenticadas, manipulando archivos ejecutables para inutilizarlos hasta que el usuario realiza la activación.
Esta táctica asegura que el usuario active la aplicación comprometida sin siquiera saberlo. Una vez activado, el malware ejecuta su carga útil principal obteniendo el registro DNS TXT para el dominio malicioso y decodificando el script Python. El script se ejecuta sin cesar intentando descargar el siguiente paso en la cadena de infección, que también es un script de Python.
El propósito de la siguiente carga útil es ejecutar comandos arbitrarios recibidos del servidor. Aunque no se recibieron órdenes judiciales durante la investigación y la puerta trasera se actualizaba periódicamente, estaba claro que la campaña de malware todavía estaba en desarrollo. El código sugiere que estos comandos pueden ser scripts de Python codificados.
Además de las características mencionadas, el script tiene dos características notables relacionadas con el dominio apple-analyzer[.]com. Ambas funciones tienen como objetivo comprobar la presencia de aplicaciones de billetera de criptomonedas y reemplazarlas con versiones maliciosas descargadas del dominio especificado. Esta táctica se ha observado dirigida tanto a las billeteras Bitcoin como a Exodus.
El malware de macOS vinculado a software pirateado destaca riesgos graves. Los ciberdelincuentes utilizan aplicaciones pirateadas para acceder fácilmente a las computadoras de los usuarios y obtener privilegios de administrador pidiéndoles que ingresen su contraseña. Los creadores mostraron una creatividad inusual al ocultar el script Python en el registro del servidor DNS, aumentando así el nivel de sigilo del malware en el tráfico de la red.
Los usuarios deben tener mucho cuidado, especialmente con sus carteras de criptomonedas. Evite realizar descargas desde sitios web sospechosos y utilice soluciones de ciberseguridad confiables para una mejor protección, dijo Sergey Puzan, investigador de seguridad de Kaspersky. Para protegerse de los troyanos y proteger sus criptoactivos, los investigadores de Kaspersky recomiendan tomar las siguientes medidas: Para obtener más información sobre los troyanos de criptomonedas y las puertas traseras para macOS, lea el informe en Securelist.com Presentamos a Kaspersky Kaspersky es una empresa global de ciberseguridad y seguridad digital fundada en 1997.
La profunda experiencia en amenazas y seguridad de Kaspersky se traduce continuamente en soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La amplia cartera de seguridad de la empresa incluye protección de terminales líder en la industria y una gama de soluciones y servicios de seguridad especializados, así como soluciones de inmunidad cibernética para combatir las amenazas digitales más avanzadas y en desarrollo. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky y ayudamos a 220 000 clientes empresariales a proteger lo que más les importa.
Obtenga más información en https://latam.kaspersky.com. Para obtener más información, comuníquese al: +502 41211379 o al correo electrónico [email protected].
