MacStealer podría ser un infame mangante en ciernes, pero en este momento necesita mejoras, según el diestro en Malwarebytes.
Investigadores de seguridad de Uptycs, una empresa de ciberseguridad especializada en seguridad en la nimbo, descubrieron un nuevo malware para macOS, llamado MacStealer, que es capaz de robar varios archivos, billeteras de criptomonedas y detalles almacenados en navegadores específicos como Firefox, Chrome y Brave. Igualmente puede extraer la forma codificada en base64 de la colchoneta de datos de Keychain, el administrador de contraseñas de Apple. Los usuarios de macOS Catalina (10.5) y versiones dependientes de Intel M1 y M2 se ven afectados por este malware.
Y aunque MacStealer parece estar el malware para mac, es asaz rudimentario, según Thomas Reed, director de tecnología central de Malwarebytes. “No existe un método de persistencia y depende de que el usufructuario broa la aplicación”, agrega, considerando las características previsibles que el desarrollador quiere asociar a MacStealer en el futuro.
MacStealer usa canales en Telegram como su centro de comando y control (C2). El malware se ha promocionado en un foro de la dark web desde principios de marzo. Según los desarrolladores, todavía se encuentra en la etapa beta auténtico, por lo que carece de un dinamo y un panel. Estas incluso son las razones por las que los desarrolladores distribuyen MacStealer como un malware como servicio (MaaS), que se vende a un precio bajo de $ 100 y promete funciones más avanzadas en el futuro.
MacStealer llega a los sistemas macOS de destino como un archivo de imagen de disco sin firmar (.DMG). Los usuarios son manipulados para descargar y ejecutar este archivo en sus sistemas. Una vez lograda, una contraseña falsa solicita a los usuarios que intenten robar su contraseña auténtico. MacStealer luego guardia la contraseña en la carpeta temporal (TMP) del sistema afectado.
Luego, el malware procede a resumir y acatar lo subsiguiente incluso en el interior de la carpeta TMP:
- Contraseñas de cuentas, cookies del navegador y datos de tarjetas de crédito almacenados en Firefox, Chrome y Brave
- Carteras de criptomonedas (Binance, Coinomi, Exodus, Keplr Wallet, Martian Wallet, MetaMask, Phantom, Tron, Trust Wallet)
- Cojín de datos de llaveros en su forma codificada (base64)
- Contraseña del cadena en formato de texto
- Varios archivos (.TXT, .DOC, .DOCX, .PDF, .XLS, .XLSX, .PPT, .PPTX, .JPG, .PNG, .CVS, .BMP, .MP3, .ZIP, .RAR, .PY , .DB)
- Información del sistema en forma de texto
MacStealer incluso comprime todo lo que robó en un archivo ZIP y lo envía a servidores C&C remotos para que el actor de amenazas lo recopile más tarde. Al mismo tiempo, se envía una traducción resumida de la información que robó a los canales de Telegram preconfigurados, lo que alerta al actor de amenazas que hay nuevos datos robados disponibles para descargar.
Un compendio de datos de lo que ha sido robado por MacStealer. Los actores de amenazas reciben esto en su bot personal de Telegram. (Fuente: Uptycs)
El hecho de que MacStealer sea un archivo DMG sin firmar incluso es una barrera para cualquiera, especialmente para los principiantes, que intentan ejecutar el software en una Mac moderna, dijo Reed de Malwarebytes. “Su intento de phishing para obtener contraseñas de inicio de sesión no es muy convincente y probablemente solo engañaría a un usufructuario novato. Pero ese usufructuario es exactamente el tipo que tendría problemas para abrirlo”.
Malwarebytes elimina todos los restos de ransomware y evita que se vuelva a infectar. ¿Quiere conocer más sobre cómo podemos ayudar a proteger su negocio? Obtenga una prueba gratuita a continuación.
PROBAR AHORA
