La campaña de malware para macOS muestra una novedosa técnica de entrega

Los investigadores de seguridad han hecho sonar la alarma sobre una nueva campaña de ciberataque que utiliza copias descifradas de productos de software populares para distribuir una puerta trasera a los usuarios de macOS.

¿Qué diferencia a esta campaña de muchas otras que han empleado una táctica similar, como la que se informó a principios de este mes? involucrando sitios web chinos – es su gran escala y su novedosa técnica de entrega de carga útil en varias etapas. También es digno de mención el uso por parte del actor de amenazas de aplicaciones macOS descifradas con títulos que probablemente sean de interés para los usuarios empresariales, por lo que las organizaciones que no restringen lo que los usuarios descargan también pueden estar en riesgo.

Kaspersky fue el primero en descubrir e informar en la puerta trasera Activator macOS en enero de 2024. Un análisis posterior de la actividad maliciosa realizado por SentinelOne mostró que el malware era "corriendo a través de torrentes de aplicaciones macOS”, según el proveedor de seguridad.

"Nuestros datos se basan en la cantidad y frecuencia de muestras únicas que han aparecido en VirusTotal", dice Phil Stokes, investigador de amenazas de SentinelOne. "En enero, desde que se descubrió este malware por primera vez, hemos visto más muestras únicas de este que cualquier otro malware de macOS que [seguimos] durante el mismo período de tiempo".

La cantidad de muestras de la puerta trasera Activator que SentinelOne ha observado es incluso mayor que el volumen de cargadores de adware y paquetes de software de macOS (piense en Adload y Pirrit) que son compatibles con grandes redes de afiliados, dice Stokes. "Si bien no tenemos datos para correlacionarlo con los dispositivos infectados, la tasa de cargas únicas a VT y la variedad de aplicaciones diferentes que se utilizan como señuelos sugieren que las infecciones en estado salvaje serán significativas".

¿Construyendo una botnet para macOS?

Una posible explicación para la escala de la actividad es que el actor de amenazas está intentando ensamblar una botnet para macOS, pero eso sigue siendo sólo una hipótesis por el momento, dice Stokes.

El actor de amenazas detrás de la campaña Activator está utilizando hasta 70 aplicaciones únicas de macOS crackeadas (o aplicaciones “gratuitas” sin protección contra copia) para distribuir el malware. Muchas de las aplicaciones descifradas tienen títulos centrados en los negocios que podrían ser de interés para las personas en entornos laborales. Una muestra: Snag It, Nisus Writer Express y Rhino-8, una herramienta de modelado de superficies para ingeniería, arquitectura, diseño automotriz y otros casos de uso.

"Hay muchas herramientas útiles para fines laborales que macOS.Bkdr.Activator utiliza como señuelo", dice Stokes. "Los empleadores que no restringen el software que los usuarios pueden descargar podrían correr el riesgo de verse comprometidos si un usuario descarga una aplicación que está infectada con la puerta trasera".

Los actores de amenazas que buscan distribuir malware a través de aplicaciones descifradas generalmente incorporan el código malicioso y las puertas traseras dentro de la propia aplicación. En el caso de Activator, el atacante ha empleado una estrategia algo diferente para abrir la puerta trasera.  

Método de entrega diferente

A diferencia de muchas amenazas de malware para macOS, Activator en realidad no infecta el software crackeado, afirma Stokes. En cambio, los usuarios obtienen una versión inutilizable de la aplicación descifrada que desean descargar y una aplicación "Activadora" que contiene dos ejecutables maliciosos. Los usuarios deben copiar ambas aplicaciones a la carpeta Aplicaciones y ejecutar la aplicación Activador.

Luego, la aplicación solicita al usuario la contraseña de administrador, que luego usa para deshabilitar la configuración de Gatekeeper de macOS para que las aplicaciones externas a la tienda de aplicaciones oficial de Apple ahora puedan ejecutarse en el dispositivo. Luego, el malware inicia una serie de acciones maliciosas que finalmente desactivan la configuración de notificaciones del sistema e instalan un agente de inicio en el dispositivo, entre otras cosas. La puerta trasera Activator en sí es un instalador y descargador de primera etapa para otro malware.

El proceso de entrega de varias etapas "proporciona al usuario el software descifrado, pero abre puertas traseras a la víctima durante el proceso de instalación", dice Stokes. "Esto significa que incluso si el usuario decide posteriormente eliminar el software crackeado, no eliminará la infección".

Sergey Puzan, analista de malware de Kaspersky, señala otro aspecto de la campaña Activator que es digno de mención. "Esta campaña utiliza una puerta trasera de Python que no aparece en el disco en absoluto y se inicia directamente desde el script del cargador", afirma Puzan. "Usar scripts de Python sin ningún 'compilador' como pyinstaller es un poco más complicado ya que requiere que los atacantes lleven un intérprete de Python en alguna etapa del ataque o se aseguren de que la víctima tenga instalada una versión de Python compatible".

Puzan también cree que un objetivo potencial del actor de amenazas detrás de esta campaña es crear una botnet para macOS. Pero desde el informe de Kaspersky sobre la campaña Activator, la empresa no ha observado ninguna actividad adicional, añade.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cyberattacks-data-breaches/macos-malware-campaign-showcases-novel-delivery-technique