El malware CloudChat infostealer Mac se hace pasar por un servicio “seguro”

malware

Los investigadores descubrieron recientemente que una supuesta aplicación de chat, CloudChat, robó subrepticiamente claves criptográficas y billeteras de las Mac de las víctimas. El malware igualmente abrió una puerta trasera, lo que permitió al desarrollador controlar de forma remota las Mac infectadas y ejecutar en secreto comandos de Terminal.

Algún tiempo a posteriori de que los investigadores publicaran un artículo sobre el malware, el sitio de la aplicación de chat cambió. Ya no ofrece la misma interpretación de la aplicación. Esto es lo que sabemos sobre la historia hasta ahora.

¿Qué es el malware timador de información de CloudChat y qué hace?

El 3 de abril, los investigadores de malware Adam Kohler y Christopher Lopez descubrieron un archivo interesante que se había subido a VirusTotal ese día. VirusTotal es un sitio que permite a cualquiera escanear un archivo con múltiples motores antivirus para ver cuáles lo detectan como potencialmente peligroso; Los archivos cargados en el sitio están disponibles para que los investigadores de malware los descarguen.

El mismo DMG (imagen de disco de macOS) que contenía el archivo igualmente estaba arreglado en el sitio oficial de CloudChat.

Cuando una víctima ejecuta la aplicación, verifica si la dirección IP del sistema implica que la Mac está en China. Si es así, evita descargar una carga útil maliciosa.

Sin secuestro, si la Mac de la víctima no parece estar en China, descarga y ejecuta subrepticiamente la carga útil de la segunda etapa. La carga útil es una aplicación que se oculta en la carpeta de inicio del favorecido; su nombre comienza con un punto, por lo que no será visible en el Finder de macOS.

Luego, la aplicación recopila información sobre la Mac infectada y la envía a un favorecido de Telegram. Luego comienza a apañarse cualquier secreto privada criptográfica de Bitcoin, Ethereum o TRON que el favorecido pueda copiar en el portapapeles. Si la víctima copia uno, el malware lo extrae al desarrollador del malware a través de Telegram.

El malware igualmente examen en Mac extensiones comunes de billetera de criptomonedas de Google Chrome. Si encuentra alguno, crea un archivo comprimido y lo extrae al servidor FTP del atacante.

Algún tiempo a posteriori de estas etapas iniciales, un atacante puede disfrutar la funcionalidad de puerta trasera del software. Pueden expedir comandos manualmente y controlar de forma remota la Mac infectada.

¿Qué pasó a posteriori de que los investigadores publicaron su artículo?

Algún tiempo a posteriori de que se publicara el artículo flamante, los operadores del sitio CloudChat evidentemente eliminaron la interpretación maliciosa de la aplicación para Mac.

En espacio de la interpretación maliciosa que aparentemente crearon el 2 de abril de 2024, volvieron a una interpretación preparatorio. En el momento en que se publica este artículo, la aplicación que el sitio distribuye actualmente a través de CloudChat.dmg parece deber sido creada el 22 de junio de 2022. Se cargó por primera vez en VirusTotal el 2 de julio de 2023.

Dejando a un flanco el malware, ¿es confiable CloudChat?

El sitio oficial de CloudChat utiliza muchas palabras de moda para dar la percepción de estar seguro; afirman que “le brinda un servicio de vida social seguro”, que es “social privado y seguro”, “está encriptado” y “[protects] sus mensajes, archivos, etc. de piratas informáticos” y le permite permutar “secretos personales y comerciales cifrados”.

¿Pero deberías creer en la interpretación presente (antigua) de la aplicación? No, absolutamente no. Incluso en el mejor de los casos (darle al desarrollador el beneficio de la duda y hacerse cargo que su sitio ha sido pirateado) hay demasiadas señales de alerta.

Si aceptablemente la interpretación más nueva (que se ha confirmado que es malware) de la aplicación estaba autofirmada, la interpretación preparatorio ni siquiera está firmada con código. Normalmente, los desarrolladores legítimos obtienen una ID de desarrollador de Apple y hacen que Apple certifique delante protonotario sus aplicaciones antaño de distribuirlas.

El sitio no ofrece forma de contactar a la empresa por teléfono, correo electrónico o formulario; solo hay una tendencia en el Acuerdo de favorecido que dice que “puede contactarnos a través del canal oficial de CloudChat”. Obviamente, eso no es factible si no confías lo suficiente en la aplicación como para instalarla en primer espacio.

Y no hay absolutamente ningún detalle sobre el oculto que supuestamente utilizan.

Estas son sólo algunas de las señales de alerta; Esta no es ni siquiera una índice completa.

¿Qué aplicaciones de chat son en realidad seguras de usar?

Es mejor seguir con aplicaciones de chat confiables, idealmente una que utilice oculto de extremo a extremo de forma predeterminada.

Si solo necesita expedir mensajes a otros usuarios de iPhone o Mac, el propio Apple iMessage es una gran posibilidad.

En cuanto a las opciones multiplataforma, Señal y tresma se encuentran entre las opciones más confiables. WhatsApp es otra aplicación popular que ofrece chats cifrados (utilizando la tecnología de Signal); sin secuestro, Meta es propietaria de WhatsApp, anejo con Facebook e Instagram, y la empresa no tiene el mejor historial en materia de privacidad.

Obtenga más información sobre estas y otras aplicaciones de transporte legítimas en nuestro artículo sobre aplicaciones de transporte cifrada para Mac, iPhone y iPad.

5 aplicaciones de transporte cifrada para Mac, iPhone y iPad

¿Cómo puedo prolongar mi Mac a fuera de del malware?

Si cree que puede tener malware en su Mac, es una buena idea escanearlo con un antivirus confiable.

Intego VirusBarrier X9, incluido con Paquete Premium Mac X9 de Integoes una poderosa posibilidad diseñada para proteger, detectar y eliminar malware de Mac y aplicaciones potencialmente no deseadas (PUA).

Si cree que su Mac puede estar infectada, o para evitar futuras infecciones, es mejor utilizar un software antivirus de un desarrollador de Mac de confianza. VirusBarrier es un software antivirus premiado, diseñado por expertos en seguridad de Mac, que incluye protección en tiempo vivo. Se ejecuta de forma nativa en Mac basadas en silicio Intel y Apple. Y es compatible con el presente sistema operante Mac de Apple, macOS Sonoma.

Una de las características únicas de VirusBarrier es que puede apañarse archivos maliciosos en un iPhone, iPad o iPod touch en áreas del dispositivo accesibles para el favorecido. Para comenzar, simplemente conecte su dispositivo iOS o iPadOS a su Mac mediante un cable USB y bahía VirusBarrier.

Si utiliza una PC con Windows, Antivirus de destino para Windows puede prolongar su computadora protegida contra malware.

¿Cómo puedo formarse más?

Hablamos del timador de información de CloudChat en episodio 340 del Intego Mac Podcast.

También puedes suscribirte a nuestro boletín de correo electrónico y mantente atento aquí El blog de seguridad de Mac para conocer las últimas noticias sobre seguridad y privacidad de Apple. Y no olvides seguir a Intego en tus canales de redes sociales favoritos:

Acerca de Joshua Long

Josué Long (@elJoshMeister), analista jerarca de seguridad de Intego, es un obligado investigador y escritor de seguridad, y un orador conocido premiado. Josh tiene una industria en TI con especialización en seguridad de Internet y ha realizado cursos de doctorado en seguridad de la información. Apple ha obligado públicamente a Josh por descubrir una vulnerabilidad de autenticación de ID de Apple. Josh ha realizado investigaciones sobre ciberseguridad durante más de 25 abriles, que suelen aparecer en los principales medios de comunicación de todo el mundo. Busque más artículos de Josh en security.thejoshmeister.com y sígalo en X/Twitter, LinkedIn y Mastodon. Ver todas las publicaciones de Joshua Long →