A medida que se ha incrementado la cuota de mercado de los ordenadores Mac de Apple basados en ARM, también lo han hecho los esfuerzos por comprometerlos por parte de grupos de hackers que antes no estaban interesados. Una serie reciente de malware creado específicamente para macOS ha demostrado que estos grupos están dirigiendo su mirada hacia el ecosistema Mac, generalmente bien protegido.
Una de estas nuevas amenazas de malware, descubierta por Jamf Threat Labs y apodada ‘RustBucket‘, actúa como un simple visor de PDF de terceros. La aplicación en sí no produce nada malicioso hasta que se abre un PDF específico que incluye una clave codificada que activa una conexión entre el servidor del atacante y el Mac de la víctima, y la descarga de una pequeña carga maliciosa.
La carga útil inicial comienza a ejecutar comandos de reconocimiento del sistema para determinar la información del equipo y, a continuación, descarga una carga útil de tercera etapa que proporciona a los atacantes un mayor acceso al sistema operativo subyacente. Todas las etapas posteriores a la apertura del PDF por el usuario se ejecutan de forma silenciosa en segundo plano.
El visor de PDF utilizado como catalizador de este hackeo requiere anular manualmente el Gatekeeper de Apple, ya que no lleva firma, por lo que el paso obvio para mitigar este ataque es no utilizar aplicaciones o servicios de terceros, aparte de los prescritos en la Apple App Store.
El segundo malware para macOS de la semana fue descubierto por Cyble Research and Intelligence Labs (CRIL) y se ofrecía por unos módicos 1.000 dólares al mes en un canal de Telegram, con el nombre de «Atomic macOS Stealer« o «AMOS«. Este malware es capaz de extraer contraseñas del keychain, información del sistema, archivos del escritorio y carpetas de documentos, la contraseña de usuario de macOS, autocompletar el navegador, contraseñas, cookies, monederos e información almacenada de tarjetas de crédito.
Cyble cita ejemplos como Electrum, Binance, Exodus, Atomic y Coinomi. Cyble señala que han visto que el malware recibe un desarrollo activo para mejorar sus capacidades y que los autores de la amenaza incluso ofrecen software de gestión y paneles web para realizar un seguimiento de las máquinas victimizadas, todo ello con un sistema de registro que vierte a Telegram.
El actual vector de ataque se basa en un simple archivo Golang.dmg que instala el malware, por lo que parece requerir acceso directo a la máquina. Sin embargo, una vez instalado, «AMOS» hace su trabajo sin ser detectado y envía un archivo comprimido al servidor del atacante con toda la información recopilada.
Vía: TechPowerUp
