MosyleLíder en la gestión y seguridad de Apple, reveló exclusivamente 9to5mac Detalles sobre una nueva cepa de malware MAC, apodado «JSCORERUNNER». La amenaza del día cero ha escapado de todas las detecciones en Virustotal en el momento del descubrimiento, extendiéndose en un sitio de conversión de PDF malicioso llamado FilePle (.) Com para alentar a los usuarios a descargar lo que parece ser una utilidad inofensiva.
Las herramientas gratuitas que prometen conversiones rápidas de archivos para archivos HEIC y WebP, documentos PDF y Word se han vuelto prolíficos en línea como Go-Tos populares para eludir rápidamente los problemas de compatibilidad de formatos. Los ciberdelincuentes aprovechan esta tendencia creando sitios web falsos que pretenden ser utilidades legítimas para infectar a los usuarios sin desconfianza. Se ha vuelto tan malo que a principios de este año, la oficina de campo del FBI Denver ha emitido una advertencia En un aumento en el riesgo de malware y vuelo de datos desde los sitios de conversión de archivos, como FilePple (.) Com.
En algunos casos, los usuarios pueden ni siquiera saber que están infectados. Según Mosyle Research, JSCORERUNNER tiene lugar en dos etapas. El primer instalador, filepple.pkg, afirma ser una herramienta de trabajo inofensiva en PDF, mientras que el código malicioso se ejecuta en silencio en segundo plano. Aunque este paquete ahora está bloqueado por MACOS porque su certificado de desarrollador fue revocado por Apple, la carga útil real está disponible en un segundo instalador llamado Safari14.1.2MoJaveautouto.pkg. Al no estar firmado, desliza las protecciones predeterminadas de Gatekeeper y no está bloqueado de forma predeterminada.
Una vez instalado, el software malicioso JSCorernner se dirige y desvía específicamente el navegador Chrome de un usuario modificando los parámetros de sus motores de búsqueda predeterminados inconscientemente un proveedor de búsqueda fraudulento. Esto abre a los usuarios a las claves, la investigación redirigida a los sitios de phishing y favoreció los resultados de búsqueda de malware, lo que finalmente conduce a todo tipo de datos y / o vuelo financiero.
Se incluyen más detalles sobre los resultados del equipo de investigación de seguridad de Mosyle en el comunicado de prensa exclusivo a continuación.
presione soltar
Mosyle descubre un nuevo malware Mac, «JScarerunner», con detección de días cero
Mosyle, un nombre principal en la seguridad de Appleha identificado una nueva campaña de nuevo y sofisticado Mac Malware Mac, apodado «JSCORERUNNER». La amenaza, que funciona como un Troy / Adware, se distribuye a través de un sitio web de conversión PDF falso, «FilePple (.) Com». En el momento del análisis, el malware no tenía detección en Virustotal, lo que la convierte en una amenaza de «día cero» que puede evitar las medidas de seguridad existentes. Esto subraya la importancia para que los administradores de Mac sean vigilantes y proactivos en su postura de seguridad, mientras que las amenazas nuevas y en evolución continúan surgiendo.
El malware opera en un proceso de dos pasos. El primer paso es un paquete llamado «fileple.pkg», que pretende ser una herramienta PDF legítima, para admitir esto, el malware inicia un proceso que crea una vista falsa de la web, que muestra una visión general de una herramienta PDF en la apariencia legítima, mientras que la actividad maliciosa funciona en silencio en el fondo. Este paquete fue firmado por un desarrollador cuya firma fue revocada por Apple, lo que significa que MacOS bloqueará el paquete al lanzar. Sin embargo, el segundo paso, llamado «Safari14.1.2MoJaveauto.pkg», no está firmado y, por lo tanto, no se bloquea de forma predeterminada. Este segundo paso se descarga directamente de la misma área y es el que realiza la carga útil maliciosa principal.
Una vez que se lanza el segundo paso, realiza una serie de acciones para infectar el sistema. Primero envía una solicitud a un servidor de pedidos y control para confirmar la instalación. Luego identifica al usuario real, elimina los atributos de cuarentena de la aplicación y define la ruta para ejecutar el binario principal.
El objetivo principal de JSCORERNER en este momento es desviar el navegador web de un usuario. Más específicamente, el malware se dirige a los perfiles de Google Chrome en MacOS, cruzando el soporte ~ / biblioteca / aplicación / google / chrome / carpeta para identificar tanto el perfil predeterminado como los perfiles adicionales. El malware cambia los parámetros del motor de búsqueda creando un nuevo objeto Templatratorl, que define la URL de búsqueda, la nueva URL de la pestaña y el nombre de la pantalla. Esto permite que el malware redirige a los usuarios a un motor de búsqueda fraudulento. Para evitar la detección y ocultar sus actividades, el malware también transmite argumentos a Chrome para ocultar los periódicos Crash y la burbuja «restaurar la última sesión».
Para los administradores de Mac que buscan agregar esta amenaza a sus herramientas de seguridad, Mosyle proporcionó el siguiente hash:
Fileple.pkg – (primer paso) – 3634D1333E958412814806A5D65F1D82536D94CAC21EC44B8ABA137921AE3709
Filesipple (mach -o) -5828ab3abf72c93838a03fb5a9ca271dbbbbb66ad4b3a950668a22cd8f37ac9b04
Fileple (postinstall) – 6c5e51e7aeb1836d801424f20ffd56734cc35a75ae3cca888002f94c40949a27
(JSCORERUNNER)
Safari14.1.2mojaveauto.pkg – (segunda etapa) – 23186719325c87eb4e17aae0db502e78fb24598e97c8a9c151d7c347e72c0331
ACTUALIZACIÓN (MACH -O) – A7A02C6F50731333DDDEDD3BFC9C67CA385168BA35469752FCDF5E1ED5FCEFCE
Preinstall – 35C64A2111C0B8E728E82DB3D727319720E612E9A3DFE85D445F5B90FC1485A
Postinstall – 84F8E3F996CF907F71EE4823C1BC91A82589C5E4FCD98A9084E51B02AD3515DD
JavaScript (oscurecido) – A86FE93E1A4C451C11B628F622B80770F40254DE4A050BBE8E4CAAE7EF89DFA44
Este descubrimiento realizado por el equipo de investigación sobre la seguridad de Mosyle destaca la necesidad de una vigilancia continua y un enfoque de seguridad multicapa para proteger contra amenazas nuevas y sofisticadas que pueden evitar los controles de seguridad estándar, como la notarización y la validación de la firma. Los administradores de Mac también deben considerar la educación del usuario como un componente vital de su estrategia de defensa, recordando a los usuarios que tengan cuidado con el software descargado de fuentes no concléticas.
