Recientemente vimos cómo se usaba ChatGPT para engañar a los usuarios de Mac para que instalaran MacStealer y ahora se ha encontrado un truco diferente para engañar a los usuarios para que instalen una versión de MacSync Stealer.
Mac sigue siendo un objetivo relativamente difícil para los atacantes gracias a la protección de Apple contra la instalación de malware. Sin embargo, el malware para Mac va en aumento, y dos técnicas descubiertas recientemente por investigadores de seguridad resaltan los métodos creativos que están utilizando algunos atacantes…
Había dos razones principales por las que el malware para Mac era relativamente raro en comparación con las máquinas con Windows. La primera, por supuesto, era que las Mac tenían una cuota de mercado relativamente baja. El segundo es la protección incorporada que Apple tiene para detectar y bloquear aplicaciones no autorizadas.
A medida que la participación de mercado de Mac ha crecido, el atractivo de la plataforma como objetivo ha hecho lo mismo, convirtiendo a los usuarios de Mac en la población de Apple en un objetivo particularmente tentador para estafas financieras.
Cuando intentas instalar una nueva aplicación de Mac, macOS comprueba que esté firmada por un desarrollador que esté certificado ante notario por Apple. De lo contrario, este hecho se marcará y macOS ahora convierte en un proceso relativamente complicado eludir la seguridad e instalarlo de todos modos.
A principios de este mes, supimos que los atacantes están usando ChatGPT y otros chatbots de IA para engañar a los usuarios de Mac para que peguen una línea de comando en la Terminal, que luego instala Macware. La empresa de ciberseguridad Jamoff ha encontrado ahora un ejemplo de otro enfoque utilizado.
Instalador de MacSync Stealer
jamf dijo El malware es una variante del malware MacSync Stealer, “cada vez más activo”
Los atacantes utilizan una aplicación Swift firmada y certificada ante notario y que no contiene malware. Sin embargo, la aplicación recupera un script codificado del servidor remoto, que luego se ejecuta para instalar el malware.
Después de inspeccionar el binario Mach-O, que es una compilación pública, confirmamos que está firmado en código y certificado ante notario. La firma está asociada con el ID del equipo de desarrolladores GNJLS3UYZ4.
También verificamos los hashes del directorio de códigos con la lista de revocación de Apple y durante el análisis, no se revocó ninguno (…).
La mayoría de las cargas asociadas con MaxSync Stealer tienden a ejecutarse principalmente en la memoria y dejan poco o ningún rastro en el disco.
La agencia dijo que los atacantes utilizan cada vez más este tipo de método.
Este cambio en la distribución refleja una tendencia más amplia en todo el panorama del malware de macOS, donde los atacantes intentan cada vez más ocultar su malware en ejecutables firmados y notariados, lo que los hace parecer más aplicaciones legítimas. Al utilizar estas técnicas, los adversarios reducen las posibilidades de detección temprana.
Jamoff dijo que informó la identificación del desarrollador a Apple y la compañía ahora revocó el certificado.
Tecnología de 9to5Mac
Como siempre, la mejor protección contra el malware de Mac es instalar aplicaciones sólo desde la Mac App Store y desde sitios web de desarrolladores de su confianza.
Accesorios destacados
Foto por Ramshid en desempaquetar
