El malware de MacOS se dirige a Bitcoin y a las criptomonederos Exodus

Según investigadores de Kaspersky, un nuevo malware dirigido a usuarios de Apple en EE. UU. y Alemania está infectando las aplicaciones de criptomonedero Bitcoin y Exodus con un troyano distribuido a través de software pirateado.

El malware se entrega a través de aplicaciones descifradas y puede reemplazar las aplicaciones de criptomoneda Exodus y Bitcoin instaladas en la máquina del usuario con versiones infectadas que roban frases secretas de recuperación una vez que se desbloquea la billetera.

El informe, publicado esta semana, señaló Los atacantes utilizan registros DNS TXT para entregar un script Python cifrado a sus víctimas como segunda etapa de la infección.

"El proceso de reemplazo de la aplicación de billetera es sencillo porque, en esta etapa, el malware ya tiene acceso root a la computadora, otorgado durante la primera etapa de la infección", explica Sergey Puzan, experto en seguridad de Kaspersky.

El malware simplemente elimina la aplicación antigua del directorio “/Aplicaciones/” y la reemplaza por una nueva y maliciosa. Después de la instalación y el proceso de parcheo, las aplicaciones se vuelven operativas y el usuario no se da cuenta del malware que se ejecuta en segundo plano.

Cuando los usuarios inician estas aplicaciones de billetera comprometidas, el malware envía datos, incluidas frases iniciales o contraseñas de billetera, a un servidor de comando y control (C2) controlado por los atacantes.

Esto puede dar como resultado que los atacantes tengan control total de la billetera digital de la víctima.

"No sabemos por qué el malware se dirige específicamente a versiones 'nuevas' de macOS, pero parece que esta campaña aún estaba en proceso de desarrollo", dice Puzan. "Logramos recibir actualizaciones de funcionalidad para la puerta trasera de la etapa final, pero no recibimos ningún comando del servidor".

Añadió que no hay razones específicas por las que los atacantes se centran en macOS 13.6 (Ventura) y superiores.

"La única razón por la que los actores maliciosos utilizan versiones descifradas de las aplicaciones es para bajar la guardia del usuario y pedirle que introduzca la contraseña de administrador, concediéndole así acceso raíz al proceso malicioso", explica Puzan.

Dice que la forma de protección contra tales amenazas es evitar descargar aplicaciones crackeadas o modificadas, incluso de fuentes conocidas y confiables.

"Si bien este no es un método infalible, reduce significativamente las posibilidades de llegar a un compromiso", dice Puzan. 

John Bambenek, presidente de Bambenek Consulting, dice que si bien el uso de aplicaciones pirateadas como vehículo para malware no es una técnica particularmente nueva, la selección de aplicaciones macOSX con funcionalidad para robar billeteras de criptomonedas es única.  

"Dado que la seguridad para evitar el robo de criptomonedas depende de la privacidad de la clave privada de la billetera y la frase de contraseña, robar ambas significa que el atacante puede monetizar inmediatamente a la víctima", explica.

Amenazas en evolución a las carteras de criptomonedas 

En 2023, hubo numerosas campañas maliciosas dirigidas a los propietarios de billeteras de criptomonedas, pero los hallazgos de Kaspersky indican que algunos atacantes ahora están haciendo todo lo posible para asegurarse de acceder al contenido de las billeteras de criptomonedas de sus víctimas sin ser detectados durante el mayor tiempo posible.

"Si bien es difícil predecir las amenazas que enfrentaremos en 2024, la creciente popularidad de las criptomonedas está atrayendo una mayor actividad criminal", dice Puzan. 

Adam Neel, ingeniero de detección de amenazas de Critical Start, señala que los actores maliciosos están adaptando sus técnicas para aprovechar los comportamientos y preferencias de los usuarios de criptomonedas.

"Utilizan tácticas de ingeniería social, como ofrecer software pirateado, para atraer a las víctimas a descargar malware", afirma. "La capacidad del malware para reemplazar aplicaciones de billetera legítimas y continuar operando incluso cuando el servidor C2 no responde demuestra un nivel de persistencia que puede ser difícil de detectar y eliminar para los usuarios".

Bambenek señala que, en primer lugar, muchas de las protecciones proporcionadas por el sistema operativo debían desactivarse explícitamente para que estas aplicaciones ingresaran al sistema, por lo que el mayor mecanismo de defensa es evitar el software pirateado y las aplicaciones fuente únicamente de la tienda de aplicaciones oficial.

"Para aquellos usuarios que todavía quieren aplicaciones pirateadas, deben mantener las aplicaciones de criptomonedas y sus billeteras privadas en máquinas seguras que no tengan dicho software descargado e instalado", dice. 

Neel dice que los usuarios deben seguir tomando precauciones, especialmente cuando almacenan grandes cantidades de moneda digital.

"Las criptomonedas siguen siendo un objetivo atractivo para los ciberdelincuentes, por lo que los actores maliciosos se verán motivados a mejorar sus comportamientos y su tecnología", afirma. 

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/application-security/macos-malware-targets-bitcoin-exodus-cryptowallets