Home Apple Tenga cuidado con los informes falsos de fallos de Mac para robar...

Tenga cuidado con los informes falsos de fallos de Mac para robar su contraseña

56

Aunque macOS es generalmente muy estable, hay ocasiones en las que una aplicación falla y su Mac se ofrecerá a enviar un informe de diagnóstico a Apple.

Se ha descubierto una nueva forma de malware para Mac que crea versiones falsas de este formulario y solicita su contraseña de Mac como parte de la recopilación de datos. Si cumple, obtendrá acceso a una amplia gama de datos personales, incluido su administrador de contraseñas y su billetera de criptomonedas…

jamf dijo Comenzó a rastrear el malware por primera vez en mayo y ahora lo ha visto en libertad.

A principios de mayo, una muestra sospechosa de macOS cargada en VirusTotal se publicó a través de nuestro proceso de procesamiento de muestras y Jamoff Threat Labs comenzó a rastrearla. Oculta el marco de informes de fallas de Apple y, por el momento, parece un ladrón de información que aún está en desarrollo. A principios de julio, vimos detecciones en estado salvaje de cargas útiles que coincidían con una de nuestras reglas internas, lo que indicaba que el proyecto había pasado del desarrollo al uso activo. Realizamos un seguimiento de este malware como CrashStealer.

La compañía de ciberseguridad dijo que la imagen del disco utilizada para distribuir el malware contenía inicialmente una identificación de desarrollador de Apple válida y una certificación notarial que le permitía pasar las comprobaciones de Gatekeeper.

El acceso principal se realiza a través de una imagen de disco llamada “Workbit Setup”, que está montada /Volumes/Werkbit Setup y contiene un único paquete de aplicaciones, Werkbit.app. Se da su nombre ejecutable. veltod y lleva el identificador del paquete dev.golove.velto. A diferencia de la carga útil que finalmente instala, el dropper está debidamente firmado y certificado ante notario: es un binario universal (arm64 y x86_64) firmado con el ID del desarrollador. Emil Grigorov (WWB7JA7AQV)Se habilita el tiempo de ejecución estricto y lleva un ticket de certificación notarial grapado. En particular, la imagen del disco en sí está firmada, no solo la aplicación que contiene, lo cual es inusual en entregas DMG maliciosas donde el contenedor generalmente no está firmado.

Macmundo Dice que Apple ha revocado las credenciales, por lo que ahora Gatekeeper debería detectarlas. Sin embargo, todavía se recomienda precaución. Además de buscar esa imagen de disco, también debes revisar de cerca los informes de fallos de la aplicación y cualquier solicitud de contraseña que solicite cambiar las preferencias del sistema.

Como siempre, su mejor protección es asegurarse de descargar solo aplicaciones de Mac App Store y sitios web de desarrolladores en los que confíe.

Foto por Philip Katzenberger en desempaquetar

Enlace fuente