Recientemente vimos cómo se utilizó ChatGPT para engañar a los usuarios de Mac para que instalaran MacStealer, y ahora se ha antitético una táctica diferente para persuadir a los usuarios a instalar una traducción de MacSync Stealer.
Mac sigue siendo un objetivo relativamente difícil para los atacantes gracias a las protecciones de Apple contra la instalación de malware. Sin bloqueo, el malware para Mac va en aumento, y dos tácticas descubiertas recientemente por investigadores de seguridad resaltan los enfoques creativos que están utilizando algunos atacantes…
Solía acaecer dos razones principales por las que el malware para Mac era relativamente raro en comparación con el de las máquinas con Windows. El primero, por supuesto, fue la cuota de mercado relativamente disminución de los Mac. El segundo fueron las protecciones integradas que Apple incluye para detectar y circunvalar aplicaciones no autorizadas.
A medida que la cuota de mercado de Mac ha ido creciendo, el atractivo de la plataforma como objetivo ha hecho lo mismo, especialmente teniendo en cuenta que el reunión demográfico de Apple convierte a los usuarios de Mac en un objetivo tentador para las estafas financieras en particular.
Cuando intentas instalar una nueva aplicación de Mac, macOS comprueba que Apple la haya certificado frente a protonotario como firmada por un desarrollador conocido. De lo contrario, este hecho se marcará y macOS ahora convierte en un proceso relativamente complicado eludir la protección e instalarla de todos modos.
A principios de este mes, supimos que los atacantes están usando ChatGPT y otros chatbots de IA para engañar a los usuarios de Mac para que peguen una radio de comando en la Terminal, que luego instala Macware. La empresa de ciberseguridad Jamf ha antitético ahora un ejemplo de otro enfoque empleado.
Instalador de MacSync Stealer
Jamf dice que el malware es una cambio del malware MacSync Stealer “cada vez más activo”.
Los atacantes utilizan una aplicación Swift que ha sido firmada y certificada frente a protonotario y que en sí misma no contiene ningún malware. Sin bloqueo, la aplicación recupera un script codificado de un servidor remoto, que luego se ejecuta para instalar el malware.
Posteriormente de inspeccionar el binario Mach-O, que es una compilación universal, confirmamos que está firmado en código y certificado frente a protonotario. La firma está asociada con el ID del equipo de desarrolladores GNJLS3UYZ4.
Asimismo verificamos los hashes del directorio de códigos con la inventario de revocación de Apple y, en el momento del estudio, nadie había sido revocado (…)
La mayoría de las cargas efectos relacionadas con MacSync Stealer tienden a ejecutarse principalmente en la memoria y dejan poco o ningún señal en el disco.
La compañía afirma que los atacantes utilizan cada vez más este tipo de enfoque.
Este cambio en la distribución refleja una tendencia más amplia en todo el panorama del malware de macOS, donde los atacantes intentan cada vez más introducir su malware en ejecutables firmados y notariados, lo que les permite parecerse más a aplicaciones legítimas. Al rendir estas técnicas, los adversarios reducen las posibilidades de ser detectados desde el principio.
Jamf dice que informó la identificación del desarrollador a Apple y la compañía ahora revocó el certificado.
La opinión de 9to5Mac
Como siempre, la mejor protección contra el malware de Mac es instalar aplicaciones sólo desde la Mac App Store y desde los sitios web de desarrolladores de su confianza.
Accesorios destacados
Foto de Ramshid en Unsplash
