Jamf Threat Labs, el brazo de investigación de seguridad de la compañía, recientemente detalles compartidos de un ataque estilo ClickFix que detectó como un anuncio patrocinado en el sitio de redes sociales X. Originado en una cuenta verificada conocida, promocionó un dominio malicioso bajo la apariencia de una aplicación popular para Mac.
El anuncio en cuestión pretendía ser lago dinámicouna utilidad legítima para Mac que convierte la muesca de tu MacBook en una isla dinámica no oficial pero completamente funcional.
a través de Jamf Threat Labs.
Pero según la investigación de Jamf, el enlace original que se ve arriba redirige a Dynamicmacisland(.)com, un dominio malicioso similar no relacionado con la aplicación real.
Una vez allí, se pedía a los visitantes que abrieran la terminal y pegaran el código de instalación que instalaría discretamente el malware en el Mac de la víctima. Esta es una técnica clásica que define los ataques de ingeniería social de ClickFix.
Las aplicaciones legítimas, firmadas y conocidas por Apple, nunca te pedirán que hagas esto.
Jamf identificó la carga útil como una variante reciente de Atomic Stealer, que rastrea bajo el nombre MacSync. También ha habido casos de ladrón de números identificados también en este ataque.
La cuenta es conocida.
El anuncio proviene de una cuenta verificada con una cantidad bastante grande de seguidores, lo que lo hace aún más interesante y peligroso. Elegí mantener el nombre de la cuenta en el anonimato para proteger la identidad del propietario, ya que no estaba destinado a difundir malware.
Evidentemente, el propietario confió en el anuncio y lo aprobó en su nombre, creyéndolo legítimo, sin saber que conducía a un dominio malicioso. Una insignia verificada y un nombre familiar brindan un nivel de confianza que una cuenta aleatoria nunca podría lograr.
La confianza es también la base de cualquier buen ataque de ingeniería social.
La historia más importante es cómo X permitió que esto sucediera.
Una cosa es que el propietario de la cuenta se joda. X aprobar el anuncio y publicarlo como una publicación promocionada es otra.
Pasó por el sistema de publicidad de X, con controles y todo, y aun así llegó a los usuarios. Es casi seguro que el dominio similar y la redirección única estaban ahí para ayudar a evitar los análisis automatizados de X. Y funcionó…
Esto debería provocarte un déjà vu varias veces. En los últimos años, hemos visto a Google Ads aprobar una cantidad exorbitante de dominios maliciosos promovidos a los primeros puestos de las búsquedas de Google. El año pasado, un caso involucró la promoción de listados falsos de Homebrew en los resultados de búsqueda que distribuían malware a usuarios de Mac.
9to5Mac Se comunicó con X para hacer comentarios y no recibió una respuesta de inmediato.
La respuesta del desarrollador
Aunque este es el primer caso de malware promocionado a través de anuncios en X, el desarrollador del verdadero lago dinámico lleva un tiempo luchando contra clones maliciosos.
Las falsificaciones se han generalizado tanto que han alcanzado 9to5Mac directamente y se le pidió compartir una declaración en este artículo:
Lo siento mucho por todos los que quisieron instalar DynamicLake pero terminaron descargando este malware. DynamicLake es simplemente una aplicación que lleva Dynamic Island a Mac, y nunca imaginé que alguien abusaría de la marca de esta manera.
Trabajo duro para combatir estas copias falsas, pero desafortunadamente aparecen nuevas cada pocos meses. No dejaré de proteger el proyecto y la comunidad.
Si necesita ayuda o no está seguro de haber descargado la aplicación legítima, no dude en ponerse en contacto conmigo. Asegúrese de descargar DynamicLake solo desde DynamicLake.com, donde las compras se procesan de forma segura a través de Gumroad.
Gracias por su apoyo y una vez más, lamento las molestias causadas.
Jamf Threat Labs informó del anuncio a X y lo eliminó con bastante rapidez.
¿X está haciendo lo suficiente para evitar que los anuncios maliciosos abandonen la plataforma o es una batalla imposible de ganar? Déjame saber tu opinión en los comentarios.
Obtenga más información de Arin Waichulis en la columna semanal de 9to5Mac y en el podcast quincenal Security Bite.





:max_bytes(150000):strip_icc():format(jpeg)/alex-rodriguez-879ca2805265447a824a50c8467718d1.jpg?w=100&resize=100,75&ssl=1)


