Publicado el 24 de febrero de 2023 por
Josué largo
Una misteriosa muestra de malware para Mac denominada iWebActualizar fue descubierto el día de San Valentín. Una de las cosas más extrañas es que, aunque solo se identificó como malware, aparentemente había estado infectando Mac durante aproximadamente los últimos cuatro abriles y medio, desde agosto o septiembre de 2018.
Examinemos lo que sabemos sobre este malware y cómo eliminarlo de guisa segura de los sistemas infectados.
En este articulo:
¿Cómo se descubrió iWebUpdate?
Patrick Wardle, un investigador independiente de seguridad de Mac, buscó encontrar nueva evidencia para respaldar su teoría personal de que “probablemente haya mucho más malware (Mac) de lo que estamos viendo”. en un entrada en el blog que publicó en las primeras horas de la mañana del Día de San Valentín, Wardle dijo que acababa de descubrir y analizar una muestra de malware consistente con esa teoría. Wardle dice que le llevó menos de diez minutos navegar por VirusTotal para encontrarlo, a pesar de su tasa de detección del 0%.
VirusTotal es un sitio donde cualquiera puede cargar archivos potencialmente infectados para obtener las opiniones de más o menos de 60 motores antivirus diferentes sobre si esos archivos pueden ser maliciosos. Los investigadores de malware pueden inquirir posibles muestras de malware filtrando la inventario de archivos cargados por criterios de interés.
Según los datos disponibles en VirusTotal, la iWebActualizar El archivo que analizó Wardle se cargó tres veces, originalmente desde un país desconocido el 23 de septiembre de 2018. No está claro si este primer cargador era un legatario positivamente infectado o si el autor del malware cargó la muestra desde un sistema de prueba para compulsar si fue detectado por cualquier motor antivirus (una habilidad suficiente popular). Luego, el archivo se volvió a cargar dos veces: aparentemente desde Rumania el 7 de noviembre de 2019 y aparentemente desde los Estados Unidos el 10 de febrero de 2023. Lo fresco de la última carga ayudó a tocar la atención de Wardle.
Pero lo que es más interesante que cuántas veces se subió positivamente es la frecuencia con la que el archivo parece ocurrir sido enviado (sin retornar a cargar) y vuelto a analizar (es proponer, vuelto a escanear por los motores antivirus). Parece que varias personas a lo dispendioso de los abriles intentaron cargarlo, se les dijo que VirusTotal ya tenía una copia idéntica del archivo y luego le pidieron a VirusTotal que hiciera que los motores antivirus lo escanearan nuevamente con las últimas definiciones. Los registros de VirusTotal enumeran 17 rutas de archivo diferentes (incluida la primera carga) que indican posibles infecciones del mundo actual, y el archivo se analizó unas 20 veces entre su carga original y el descubrimiento de Wardle. La cantidad de reescaneos se redujo drásticamente posteriormente de abril de 2021, posteriormente de lo cual solo se escaneó una vez en 2022.
Esto parece sugerir una distribución suficiente generalizada del archivo desde finales de 2018 hasta principios de 2021. Tenga en cuenta que la mayoría de estos encuentros fueron presumiblemente de usuarios que buscaban en los sistemas de archivos de sus propias Mac archivos potencialmente sospechosos y luego los subían a VirusTotal: poco que el legatario promedio de Mac nunca haría.
¿Qué le hace iWebUpdate a una computadora infectada?
El malware iWebUpdate parece ser una infección de primera etapa, una forma de obtener un punto de apoyo original en una Mac infectada. Establece persistencia, lo que significa que se instala de tal guisa que se cargará automáticamente en segundo plano cada vez que se reinicie una Mac infectada.
Luego de identificar el sistema operante de la Mac infectada y (intentar identificar) el maniquí de Mac en el que se está ejecutando, intenta conectarse con un servidor remoto con un nombre similar, iwebservicescloud(.)com
. A partir de ahí, intenta descargar una carga útil adicional. Como parece que el servidor ya no aloja el mismo sistema de comando y control que tenía cuando se distribuyó el malware por primera vez, es difícil determinar cuáles podrían ocurrir sido las capacidades de la carga útil de la segunda etapa.
¿Quién creó el malware iWebUpdate?
Conveniente a una variedad de factores, incluida la reutilización del código y del servidor, a menudo puede ser difícil determinar con certeza si un actor de amenazas conocido estuvo involucrado en el ampliación o distribución de una alcoba de malware en particular.
Wardle notó poco interesante sobre una dirección IP preliminar a la que iwebservicescloud(.)com
resuelto durante una parte del tiempo que el malware parece ocurrir estado activo. Esa dirección IP, 185.181.104(.)82
aparece en un crónica CISA sobre malware para Mac del Familia Lazarus, y más específicamente Operación Apple Jeuscomo una dirección IP a la que celasllc(.)com
una vez resuelta. Esto no prueba definitivamente una conexión con el mismo actor de amenazas, pero sigue siendo una posible respuesta sobre el origen de iWebUpdate.
Curiosamente, VirusTotal igualmente indica que cierto muestra de malware de la grupo Genieo parece ocurrir sido un “padre de ejecución” del malware iWebUpdate.
¿Qué más es digno de mención sobre el malware iWebUpdate?
Donado que el malware se diseñó en 2018, que es preliminar al anuncio de Apple de los procesadores de silicio de Apple basados en ARM, el código del malware está diseñado para ejecutarse en procesadores Intel. Sin incautación, regalado que muchas Mac hoy en día a menudo tienen la roseta 2 Situación de competencia de Intel instalado, el malware probablemente podría ejecutarse con éxito en muchas Mac basadas en M1 o M2.
A diferencia de gran parte del malware para Mac que vemos hoy, iWebUpdate no estaba firmado por un certificado de desarrollador emitido por Apple. Conveniente a que este malware se creó antaño de 2019, es preliminar Proceso de notarización de software de Appleasí que siquiera está notariado. (La notarización fue un intento débil de sujetar la cantidad de malware en la Mac; hemos trillado muchos Malware para Mac certificado por Apple.)
Como se señaló anteriormente, iWebUpdate intentos de identificar el maniquí de Mac en el que se ejecuta; ese habla fue intencional. Notamos que el código de shell que utiliza iWebUpdate para determinar el maniquí de Mac en el que se ejecuta contiene un error. Aunque en algunos casos el código identificará correctamente la Mac anfitriona, no logrará una identificación precisa si la Mac se configuró inicialmente mediante la transferencia de datos de una Mac preliminar. En su ocasión, iWebUpdate identificará por error la Mac anfitriona como el maniquí Mac diferente. El malware utiliza el código:
echo $(defaults read ~/Library/Preferences/com.apple.SystemProfiler.plist 'CPU Names') | cut -d'"' -f4
Una forma correcta de determinar el host Mac coetáneo sería:
echo $(defaults read ~/Library/Preferences/com.apple.SystemProfiler.plist 'CPU Names' | cut -sd '"' -f 4 | tail -n 1)
Asimismo es interesante notar que La web era el nombre del software de ampliación de páginas web que Apple ofrecía como parte de su iLife suite de 2006 a 2011. Los nombres de archivo y dominio del malware iWebUpdate pueden ser un intento de disfrazarse de software probado de Apple.
¿Cómo se puede eliminar iWebUpdate y otros programas maliciosos para Mac?
Intego VirusBarrier X9, incluido con Paquete Premium Mac X9 de Integopuede proteger, detectar y eliminar el malware de Mac. El software de Intego detecta esta amenaza bajo los nombres Modernización de OSX/iWeb, OSX/iWebUpdate.exty OSX/Dldr.Agent.zbqnj.
Si cree que su Mac puede estar infectada, o para evitar futuras infecciones, es mejor utilizar un software antivirus de un desarrollador de Mac de confianza. VirusBarrier es un software antivirus distinguido, diseñado por expertos en seguridad de Mac, que incluye protección en tiempo real. Se ejecuta de forma nativa en una amplia viso de hardware y sistemas operativos de Mac, incluidos los últimos Mac de silicona de Apple con macOS Ventura.
Si usa una PC con Windows, Antivirus de destino para Windows puede apoyar su computadora protegida contra malware de PC.
Nota: los clientes de Intego que ejecutan VirusBarrier X8, X7 o X6 en versiones anteriores de Mac OS X igualmente están protegidos contra esta amenaza. Lo mejor es renovar a las últimas versiones de VirusBarrier y macOS, si es posible, para cerciorarse de que su Mac reciba las últimas actualizaciones de seguridad de Apple..
iWebUpdate indicadores de compromiso (IoC)
Tres rutas de archivo están asociadas con el malware iWebUpdate:
~/Library/Services/iWebUpdate ~/Library/LaunchAgents/iwebupdate.plist /tmp/iwup.tmp
Tenga en cuenta que la tilde (~) indica la carpeta de inicio de un legatario en particular, por ejemplo /Users/admin
.
La muestra principal, iWebUpdate, tiene un hash SHA-256 de 3e66e664b05b695b0b018d3539412e6643d036c6d1000e03b399986252bddbfb
y está arreglado para que los investigadores descargar en Virus Total.
Se identificó un dominio de comando y control asociado con este malware más o menos de 2018:
iwebservicescloud(.)com
El dominio se registró originalmente en agosto de 2018 y su registro parece ocurrir caducado posteriormente de su propiedad diferente. Actualmente, parece que el dominio se registró por última vez en enero de 2021, por lo que es posible que su propietario coetáneo no sea necesariamente la misma parte que el propietario del dominio diferente. Sin incautación, los administradores de red aún pueden compulsar los registros recientes para tratar de identificar si alguna computadora en su red pudo ocurrir intentado comunicarse con este dominio, lo que podría indicar una posible infección.
¿Se conoce iWebUpdate por otros nombres?
Los nombres de otros proveedores para componentes de amenazas de esta campaña de malware pueden incluir variaciones de lo posterior:
Puerta trasera ( 0040f3561 ), HEUR:Trojan-Downloader.OSX.Agent.gen, MacOS:Downloader-AX (Drp), Malware.OSX/Dldr.Agent.zbqnj, OSX.Trojan.Gen, OSX/Agent.X!tr. dldr, OSX/TrojanDownloader.Agent.X, Trojan:MacOS/Multiverze, Trojan.Downloader.OSX.Agent, Trojan.MAC.Generic.111537 (B), Trojan.MAC.Generic.D1B3B1, Trojan.OSX.Agent.4 !C
¿Cómo puedo educarse más?
Para obtener detalles técnicos adicionales sobre el malware iWebUpdate, incluida su ingeniería inversa y el exploración de cómo funciona el binario, puede consultar El artículo de Patrick Wardle.
Hablamos de iWebUpdate en episodio 279 del podcast Intego Mac:
Cada semana en el Podcast de destino para MacLos expertos en seguridad de Mac de Intego analizan las últimas noticiero de Apple, incluidas las historias de seguridad y privacidad, y ofrecen consejos prácticos para disfrutar al mayor sus dispositivos Apple. Asegúrate de sigue el pódcast para cerciorarse de que no se pierda ningún episodio.
Asimismo puede suscribirse a nuestro Boletín electrónico y apoyar un ojo aquí en El blog de seguridad de Mac para conocer las últimas noticiero sobre seguridad y privacidad de Apple. Y no olvide seguir a Intego en sus redes sociales favoritas:
Acerca de Joshua Long
Josué dispendioso (@joshmeister), analista patriarca de seguridad de Intego, es un agradecido investigador de seguridad, escritor y orador manifiesto. Josh tiene una industria en TI con especialización en seguridad de Internet y ha tomado cursos de nivel de doctorado en seguridad de la información. Apple ha agradecido públicamente a Josh por descubrir una vulnerabilidad de autenticación de ID de Apple. Josh ha realizado investigaciones sobre seguridad cibernética durante más de 20 abriles, que a menudo han aparecido en los principales medios de comunicación de todo el mundo. Busque más artículos de Josh en seguridad.thejoshmeister.com y seguirlo en Gorjeo.
Ver todas las publicaciones de Joshua Long →