Las aplicaciones de macOS crackeadas ofrecen ladrones de información que agotan las carteras criptográficas

Los expertos en ciberseguridad de Kaspersky han descubierto un método sofisticado empleado por los piratas informáticos para entregar malware de robo de información a los usuarios de macOS.. Esta insidiosa campaña emplea un enfoque sigiloso., utilizar registros DNS para ocultar scripts maliciosos y apuntar a usuarios de macOS Ventura y versiones posteriores.

Aplicaciones de macOS crackeadas que ofrecen malware de robo de información

El ataque gira en torno a la distribución de aplicaciones crackeadas reempaquetados como archivos PKG, camuflando un troyano dentro del software aparentemente inofensivo.

La metodología del ataque fue descubierta por investigadores de la firma de ciberseguridad Kaspersky., quien diseccionó las etapas de la cadena de infección. Las víctimas, sin saberlo, pasan a formar parte de la campaña al descargar y ejecutar el malware., guiados por instrucciones de instalación que les solicitan que coloquen el archivo malicioso en el /Aplicaciones/ carpeta. Los atacantes aprovechan a los usuarios.’ Expectativas, disfrazar el malware como un activador de la aplicación descifrada que descargaron inicialmente.

Descripción técnica de los ataques

Tras la ejecución, Aparece una ventana engañosa del Activador., Diseñado estratégicamente para engañar a las víctimas para que proporcionen su contraseña de administrador.. Esta táctica engañosa permite que el malware obtenga privilegios elevados., allanando el camino para un impacto más amplio y dañino.

La sofisticación de esta campaña radica en su uso de registros DNS para ocultar los scripts maliciosos, evadir los métodos de detección tradicionales y dificultar la intervención de las medidas de seguridad. Mientras los usuarios siguen instrucciones de instalación aparentemente inocuas, El troyano se instala silenciosamente en el sistema de la víctima., listo para llevar a cabo sus capacidades de robo de información.

Con permiso de usuario concedido, el malware inicia su ataque ejecutando una 'herramienta'’ ejecutable (Macho) a través de 'AutorizaciónExecuteWithPrivileges’ función. Para enmascarar aún más sus actividades, el malware busca la presencia de Python 3 en el sistema y lo instala si está ausente, disfrazar hábilmente todo el proceso como benigno “parcheo de aplicaciones.”

Siguiendo esta iniciación sigilosa, el malware establece contacto con su comando y control (C2) servidor, operando bajo la apariencia engañosa de “salud-de-manzana[.]org.” El objetivo es recuperar un script Python codificado en base64 del servidor., capaz de ejecutar comandos arbitrarios en el dispositivo comprometido.

Comunicación con el servidor C2

Los investigadores también descubrieron un método intrigante empleado por el actor de amenazas para comunicarse con el servidor C2.. Usando una combinación de palabras de dos listas codificadas y una secuencia de cinco letras generada aleatoriamente, el malware construye un nombre de dominio de tercer nivel, formando una URL. Esta URL, cuando se utiliza para realizar una solicitud a un servidor DNS, busca un registro TXT para el dominio, según los hallazgos de los expertos en ciberseguridad de Kaspersky.

Este método permite que el malware oculte eficazmente sus actividades nefastas dentro del tráfico web normal.. La carga útil del script Python, codificado como registros TXT, se descarga del servidor DNS sin levantar sospechas, ya que estas solicitudes parecen típicas e inocuas.

Funcionando como descargador, La tarea principal de este script era buscar un segundo script de Python., sirviendo como puerta trasera con amplias capacidades. Una vez activado, el script de puerta trasera recopiló y transmitió clandestinamente información confidencial sobre el sistema infectado, Incluyendo la versión del sistema operativo, listados de directorio, aplicaciones instaladas, tipo de CPU, y dirección IP externa.

La herramienta’ El ejecutable empleado en el ataque demostró otra faceta de la estrategia del malware al modificar el archivo '/Library/LaunchAgents/launched...plist’ para garantizar la persistencia entre reinicios del sistema, solidificando su punto de apoyo en el dispositivo comprometido.

Durante su examen, Los investigadores de Kaspersky observaron que el comando y control (C2) El servidor proporcionó constantemente versiones actualizadas del script de puerta trasera., sugiriendo un desarrollo continuo. Sin embargo, no se presenció ninguna ejecución de comando, dejando espacio para la especulación sobre posibles funcionalidades futuras aún por implementar.

El ladrón de criptomonedas

El script descargado reveló un giro siniestro ya que contenía funciones diseñadas para inspeccionar el sistema infectado en busca de la presencia de billeteras Bitcoin Core y Exodus.. Si se detecta, el malware reemplazó estas billeteras con copias con puerta trasera obtenidas de 'apple-analyzer[.]com.’ Las billeteras comprometidas contenían código malicioso diseñado para enviar información confidencial., incluyendo frases iniciales, contraseñas, nombres, y saldos, directamente al servidor C2 del atacante. Los usuarios que desprevenidos cumplen con indicaciones inesperadas para volver a ingresar los detalles de su billetera corren el riesgo de que sus billeteras se vacíen..

Kaspersky enfatizó que las aplicaciones crackeadas utilizadas como vectores en esta campaña sirven como puertas de entrada convenientes para que actores maliciosos se infiltren en los usuarios.’ ordenadores. Si bien el uso de aplicaciones crackeadas para la distribución de malware no es nuevo, Esta campaña ejemplifica la adaptabilidad de los actores de amenazas a la hora de idear métodos innovadores., como ocultar la carga útil dentro de un registro TXT de dominio en un servidor DNS.

Esta revelación no sorprende en absoluto., considerando las tendencias generales de malware de macOS y El predominio de los ladrones de información que evaden los mecanismos de defensa de XProtect..