Después de la precaución 9to5mac Acerca de Mac Malware oculto en un sitio de convertidor PDF falso el mes pasado, MosileUn líder de la gestión de Apple y la protección de Apple ahora ha presentado un nuevo infosteller. Apodado Modestiller, el malware se ha mantenido invisible para todos los motores antivirus grandes desde que apareció el primer virus en el primer virustotle hace aproximadamente un mes.
Detalle 9to5macMosile dice que el modestiel no solo se dirige a los sistemas MacOS, sino que es una plataforma cruzada y diseñada especialmente para una cosa: robar datos.
Según el análisis de Mosail, los desarrolladores están siendo suministrados a las víctimas de Modestella mediante la publicidad de empleadores contaminados. Utiliza un archivo JavaScript más pesado escrito con el Nodez que es completamente explotado por la defensa basada en la firma. Y no solo nota los usuarios de Mac; Windows y Linux también están en riesgo.
El objetivo principal del malware es acelerar con la billetera de criptomonedas, el archivo de certificado, los detalles de configuración y un enfoque especial en los certificados. El código de pre-carga de Mosile está diseñado para recopilar 56 extensión de billetera de navegadores diferentes con Safari, apuntando a claves personales e información confidencial de la cuenta.
Los investigadores de la firma han descubierto además que el portapapeles Modestiller es capaz de captura, captura de pantalla y ejecución de código remoto. Los dos primeros son malos, pero el último puede dar un control casi completo sobre el dispositivo infectado del atacante.
Lo que hace que este descubrimiento sea preocupante es el sigilo que opera Modesteller. El malware exploratorio es un gran problema para la identificación basada en la firma porque no se puede notar sin banderas silenciosas.
En Makos, el malware abusa de la propia herramienta de lanzamiento de Apple, incrustada como un lanzamiento y logra una apariencia vital o una exploración a largo plazo en el MC de una víctima. A partir de ahí, observa silenciosamente la actividad y exfla la información confidencial en un servidor remoto. Los investigadores de Mosile dicen que el servidor de alojamiento de datos robados parece estar en Finlandia, pero está destinado a la infraestructura de Alemania, tal vez las máscaras de ubicación originales de los operadores.
Mosile cree que el malware del modestiller se ajusta al perfil de A-A-Servis (MAAS). Aquí es donde los desarrolladores de malware hacen y venden paquetes maliciosos a los afiliados: están con pocas habilidades técnicas. Las empresas autorizadas reciben malware preparado e indican lo que quieren.
Este tipo de modelo de negocio se ha vuelto cada vez más popular en la distribución de Infostiller, especialmente en las pandillas cibernéticas, especialmente Modestler. A principios de este año, Jamf reportó un aumento del 28% en Malwer en Infosteler, que creó el tipo de familia de malware MAC Top en 2025.
“Para el profesional de la protección, el desarrollador y los últimos usuarios, actúa como un recordatorio completo de que la protección basada en la firma no es suficiente. La observación continua, la defensa basada en el comportamiento y las amenazas emergentes son necesarias para estar por delante de los oponentes”, advirtió Mosel.
Índice de negociaciones:
- SHA256 Hash: 8195148D1F697539E206A3DB1018D3F2D6DAF61A20C7C71A93C659697D219E84
- Nombre del archivo:. Sysupdater (.) Que
- Dirección IP del servidor C2: 95.217.121 (.) 184
