Recientemente vimos cómo se utilizó ChatGPT para engañar a los usuarios de Mac para que instalaran MacStealer, y ahora se ha descubierto una táctica diferente para convencer a los usuarios de que instalen una versión de MacSync Stealer.
Mac sigue siendo un objetivo relativamente difícil para los atacantes gracias a la protección de Apple contra la instalación de malware. Sin embargo, el malware para Mac va en aumento, y dos tácticas descubiertas recientemente por investigadores de seguridad resaltan los enfoques creativos que están utilizando algunos atacantes…
Había dos razones principales por las que el malware para Mac era relativamente raro en comparación con las máquinas con Windows. La primera, por supuesto, fue la cuota de mercado relativamente baja de Mac. El segundo fue la protección incorporada que Apple incluye para detectar y bloquear aplicaciones no autorizadas.
A medida que la participación de mercado de Mac ha crecido, también lo ha hecho el atractivo de la plataforma como objetivo, especialmente teniendo en cuenta que la demografía de Apple convierte a los usuarios de Mac en un objetivo tentador para el fraude financiero en particular.
Cuando intentas instalar una nueva aplicación de Mac, macOS comprueba si está certificada ante notario por Apple y firmada por un desarrollador conocido. De lo contrario, ese hecho se marcará y macOS ahora realiza un proceso relativamente complicado para evitar la protección e instalarla de todos modos.
A principios de este mes, supimos que los atacantes están usando ChatGPT y otros chatbots de IA para engañar a los usuarios de Mac para que ingresen una línea de comando en la Terminal, que luego instala Macware. La empresa de ciberseguridad Jamf ha encontrado ahora un ejemplo de otro enfoque utilizado.
Instalador de MacSync Stealer
Jamf dice que el malware es una variante del malware MacSync Stealer “cada vez más activo”.
Los atacantes utilizan una aplicación Swift que está firmada y certificada ante notario y que no contiene malware. Sin embargo, la aplicación recupera un script codificado de un servidor remoto, que luego se ejecuta para instalar el malware.
Después de verificar el binario Mach-O, que es una compilación universal, confirmamos que está firmado en código y certificado ante notario. La firma está asociada con el ID del equipo de desarrollo GNJLS3UYZ4.
También verificamos los hashes del directorio de códigos con la lista de deshacer de Apple y durante el análisis no se revocó ninguno (…)
La mayoría de las cargas útiles asociadas con MacSync Stealer tienden a ejecutarse principalmente en la memoria y casi no dejan huella en el disco.
La compañía dice que los atacantes utilizan cada vez más este tipo de enfoque.
Este cambio en la distribución refleja una tendencia más amplia en el panorama del malware de macOS, donde los atacantes intentan cada vez más introducir su malware en archivos ejecutables firmados y notariados, lo que les permite parecerse más a aplicaciones legítimas. Al utilizar estas técnicas, los adversarios reducen las posibilidades de detección temprana.
Jamf dice que informó la identificación del desarrollador a Apple y la compañía ahora revocó el certificado.
La opinión de 9to5Mac
Como siempre, la mejor protección contra el malware de Mac es instalar únicamente aplicaciones de la Mac App Store y de sitios web de desarrolladores de confianza.
Accesorios destacados
Foto de Ramshid en Unsplash
FTC: utilizamos enlaces de afiliados automáticos que generan ingresos. más.
