Después de la advertencia 9to5mac El mes pasado en malware MAC indetectable oculto en un falso sitio de convertidor PDF, MosyleUn líder en la gerencia y la seguridad de Apple, ahora ha descubierto un nuevo infosteller. Apodado Modstealer, el malware se ha mantenido invisible para todos los principales motores antivirus desde que apareció por primera vez en Virustotal hace casi un mes.
En detalle compartido exclusivamente con 9to5macMosyle dice que Modstealer no solo se dirige a los sistemas MacOS, sino que se multiplica y está especialmente diseñado para una cosa: el robo de datos.
Según el análisis de Mosyle, Modstealer se entrega a las víctimas a través de anuncios de trabajos maliciosos dirigidos a desarrolladores. Utiliza un archivo JavaScript fuertemente oscurecido escrito con NodeJS que sigue siendo completamente indetectable por las defensas basadas en la firma. Y esto no solo se dirige a los usuarios de Mac; Los entornos de Windows y Linux también están en riesgo.
El objetivo principal del malware es la exfiltración de datos, con un acento particular en las carteras de criptomonedas, archivos de identificación, detalles de configuración y certificados. Mosyle ha encontrado un código precargado dirigido a 56 extensiones de cartera de navegadores diferentes, incluido Safari, diseñado para extraer claves privadas e información de cuenta confidencial.
Los investigadores de la compañía también han descubierto que Modstealer puede capturar el portapapeles, la captura de captura y la ejecución del código remoto. Los dos primeros son malos, pero los últimos pueden dar a los atacantes un control casi completo sobre los dispositivos infectados.
Lo que hace que este descubrimiento sea tan alarmante es el sigilo con el que trabaja Modstealer.
En MACOS, el software malicioso obtiene una persistencia o presencia a largo plazo en la Mac de una víctima al abusar de la herramienta Lanzamiento de Apple, se ajusta como un lanzamiento. A partir de ahí, monitorea silenciosamente la actividad y exfiltra la información sensible a un servidor remoto. Los investigadores de Mosyle dicen que el servidor que aloja datos robados parece estar en Finlandia, pero está vinculado a la infraestructura en Alemania, lo que puede ocultar la situación real de los operadores.
Mosyle piensa que el modeler corresponde al perfil de malware como un servicio (MAAS). Aquí es donde los desarrolladores de malware crean y venden malware para afiliados, estos con pocas habilidades técnicas. Los afiliados se preparan para usar malware y pueden dirigirlo a lo que quieren.
Este modelo comercial es cada vez más popular entre las pandillas cibercriminales, en particular en la distribución de infositistas como Modstealer. A principios de este año, Jamf reportó un pico del 28% en InfoTealer de Malware, lo que lo convierte en el tipo principal de familia de malware MAC en 2025.
«Para los profesionales de la seguridad, los desarrolladores y los usuarios finales, esto recuerda el retiro de que las protecciones basadas en la firma no son suficientes.
Indicadores de compromiso:
- SHA256 Hash: 8195148D1F697539E206A3DB1018D3F2D6DAF61A207C71A93EC659697D219E84
- Nombre del archivo:. Sysupdater (.) Que
- Dirección IP del servidor C2: 95.217.121 (.) 184
