Recientemente vimos cómo se utilizó ChatGPT para engañar a los usuarios de Mac para que instalaran MacStealer, y ahora se ha encontrado una táctica diferente para persuadir a los usuarios a instalar una versión de MacSync Stealer.
Mac sigue siendo un objetivo relativamente difícil para los atacantes gracias a las protecciones de Apple contra la instalación de malware. Sin embargo, el malware en Mac va en aumento, y dos tácticas descubiertas recientemente por investigadores de seguridad resaltan los enfoques creativos utilizados por algunos atacantes…
Anteriormente, había dos razones principales por las que el malware en Mac era relativamente raro en comparación con el de las máquinas con Windows. El primero, por supuesto, fue la cuota de mercado relativamente pequeña de los Mac. El segundo se refiere a las protecciones integradas incluidas por Apple para detectar y bloquear aplicaciones maliciosas.
A medida que la participación de mercado de Mac ha crecido, también lo ha hecho el atractivo de la plataforma como objetivo, especialmente porque la demografía de Apple hace que los usuarios de Mac sean un objetivo tentador para estafas financieras en particular.
Cuando intentas instalar una nueva aplicación de Mac, macOS verifica que Apple haya certificado que está firmada por un desarrollador conocido. De lo contrario, se informará de este hecho y macOS ahora hace que el proceso sea relativamente complicado para evitar la protección e instalarla de todos modos.
A principios de este mes, supimos que los atacantes estaban usando ChatGPT y otros chatbots de IA para engañar a los usuarios de Mac para que pegaran una línea de comando en la Terminal, que luego instala Macware. La empresa de ciberseguridad Jamf ha encontrado ahora un ejemplo de otro enfoque utilizado.
Instalador de MacSync Stealer
jamf dice que el malware es una variante del malware MacSync Stealer, «cada vez más activo”.
Los atacantes utilizan una aplicación Swift que ha sido firmada y certificada ante notario y que no contiene ningún malware. Sin embargo, la aplicación recupera un script codificado de un servidor remoto, que luego se ejecuta para instalar el malware.
Después de inspeccionar el binario Mach-O, que es una versión universal, confirmamos que es un código firmado y certificado ante notario. La firma está asociada con el ID del equipo de desarrollo GNJLS3UYZ4.
También verificamos los hashes del libro de códigos con la lista de revocación de Apple y, en el momento del análisis, ninguno había sido revocado (…)
La mayoría de las cargas útiles relacionadas con MacSync Stealer tienden a ejecutarse principalmente en la memoria y dejan poco o ningún rastro en el disco.
La compañía dice que los atacantes utilizan cada vez más este tipo de enfoque.
Este cambio de distribución refleja una tendencia más amplia en el panorama del malware de macOS, donde los atacantes intentan cada vez más introducir su malware en ejecutables firmados y notariados, lo que les permite parecerse más a aplicaciones legítimas. Al aprovechar estas técnicas, los adversarios reducen las posibilidades de detección en una etapa temprana.
Jamf afirma haber informado la identificación del desarrollador a Apple y la compañía ahora ha revocado el certificado.
Tomar de 9to5Mac
Como siempre, la mejor protección contra el malware en Mac es instalar aplicaciones únicamente desde la Mac App Store y sitios web de desarrolladores de su confianza.
Accesorios destacados
Foto por Ramchid seguro desempaquetar
FTC: Utilizamos enlaces de afiliados automáticos que generan ingresos. Más.
