Recientemente vimos cómo se utilizó ChatGPT para engañar a los usuarios de Mac para que instalaran MacStealer, y ahora se ha encontrado una táctica diferente para persuadir a los usuarios a instalar una versión de MacSync Stealer.
Mac sigue siendo un objetivo relativamente difícil para los atacantes gracias a las protecciones de Apple contra la instalación de malware. Sin embargo, el malware para Mac va en aumento, y dos tácticas descubiertas recientemente por investigadores de seguridad resaltan los enfoques creativos que están utilizando algunos atacantes…
Solía haber dos razones principales por las que el malware para Mac era relativamente raro en comparación con el de las máquinas con Windows. El primero, por supuesto, fue la cuota de mercado relativamente baja de los Mac. El segundo fueron las protecciones integradas que Apple incluye para detectar y bloquear aplicaciones no autorizadas.
A medida que la cuota de mercado de Mac ha ido creciendo, el atractivo de la plataforma como objetivo ha hecho lo mismo, especialmente teniendo en cuenta que el grupo demográfico de Apple convierte a los usuarios de Mac en un objetivo tentador para las estafas financieras en particular.
Cuando intentas instalar una nueva aplicación de Mac, macOS comprueba que Apple la haya certificado ante notario como firmada por un desarrollador conocido. De lo contrario, este hecho se marcará y macOS ahora convierte en un proceso relativamente complicado eludir la protección e instalarla de todos modos.
A principios de este mes, supimos que los atacantes están usando ChatGPT y otros chatbots de IA para engañar a los usuarios de Mac para que peguen una línea de comando en la Terminal, que luego instala Macware. La empresa de ciberseguridad Jamf ha encontrado ahora un ejemplo de otro enfoque empleado.
Instalador de MacSync Stealer
Jamf dice que el malware es una variante del malware MacSync Stealer “cada vez más activo”.
Los atacantes utilizan una aplicación Swift que ha sido firmada y certificada ante notario y que en sí misma no contiene ningún malware. Sin embargo, la aplicación recupera un script codificado de un servidor remoto, que luego se ejecuta para instalar el malware.
Después de inspeccionar el binario Mach-O, que es una compilación universal, confirmamos que está firmado en código y certificado ante notario. La firma está asociada con el ID del equipo de desarrolladores GNJLS3UYZ4.
También verificamos los hashes del directorio de códigos con la lista de revocación de Apple y, en el momento del análisis, ninguno había sido revocado (…)
La mayoría de las cargas útiles relacionadas con MacSync Stealer tienden a ejecutarse principalmente en la memoria y dejan poco o ningún rastro en el disco.
La compañía afirma que los atacantes utilizan cada vez más este tipo de enfoque.
Este cambio en la distribución refleja una tendencia más amplia en todo el panorama del malware de macOS, donde los atacantes intentan cada vez más introducir su malware en ejecutables firmados y notariados, lo que les permite parecerse más a aplicaciones legítimas. Al aprovechar estas técnicas, los adversarios reducen las posibilidades de ser detectados desde el principio.
Jamf dice que informó la identificación del desarrollador a Apple y la compañía ahora revocó el certificado.
La opinión de 9to5Mac
Como siempre, la mejor protección contra el malware de Mac es instalar aplicaciones sólo desde la Mac App Store y desde los sitios web de desarrolladores de su confianza.
Accesorios destacados
Foto de Ramshid en Unsplash
