malware
Publicado en
por
Josué Long
Hay una nueva comunidad de malware para Mac y, ¡sorpresa!, esta vez no es principalmente un ratero. HZ RATA es un malware para macOS que brinda a atacantes remotos control total de una Mac infectada.
Aquí encontrará todo lo que necesita aprender para mantenerse a exceptuado de esta nueva amenaza de malware para Mac.
¿Qué hace HZ RAT?
HZ RAT es un troyano de comunicación remoto (RAT), una útil que otorga al atacante privilegios completos de distribución remota. La primera lectura conocida de este RAT se observó en 2022 dirigida a PC con Windows y ahora ha llegado a Mac.
En común, un atacante que controla una RAT puede expedir comandos a un sistema infectado como si estuviera sentado frente a él. Potencialmente, esto puede incluir descargar y ejecutar herramientas y malware adicionales, tomar capturas de pantalla, registrar pulsaciones de teclas y más. Las RAT además permiten a los atacantes hacer todas las cosas típicas que hace el malware ratero: es afirmar, compilar y filtrar datos confidenciales.
La colección de datos parece ser uno de los objetivos principales de HZ RAT en particular. La lectura para Mac crea una serie de las aplicaciones instaladas y recopila información del heredero de WeChat y DingTalk (aplicaciones de Mac comúnmente utilizadas en China). Asimismo recopila las combinaciones de nombre de heredero y sitio de Google Password Manager.
Si correctamente los datos recopilados de Google Password Manager no incluyen contraseñas, los pares de nombre de heredero y sitio podrían estilarse próximo con contraseñas filtradas de violaciones de datos pasadas; Desafortunadamente, muchas personas reutilizan contraseñas en varios sitios.
¿Cómo se propaga la rata HZ?
Aún no se sabe cómo las víctimas pudieron poseer contrario los instaladores de HZ RAT en primer ocasión. Sin retención, un heroína de Troya conocido que instala HZ RAT es una lectura modificada maliciosamente de OpenVPN Connect, un sistema global Aplicación VPN.
Es posible que este caballo de Troya se distribuya a través de medios como los anuncios maliciosos de Google que aparecen en la parte superior de los resultados de búsqueda (una táctica de distribución de malware muy común en 2024). O podría distribuirse mediante ataques más dirigidos, estilo abrevadero, o mediante algún otro método de distribución.
En cualquier caso, es importante descargar siempre aplicaciones de la App Store (si están disponibles allí) o del sitio del desarrollador original (que, idealmente, ya has visitado y marcado como favorito, para que no tengas que buscarlo en Google).
¿Cómo puedo mantener mi Mac a salvo de RAT y otro malware?
Si utilizas Intego VirusBarrier, ya estás protegido contra este malware. Intego detecta estas muestras como OSX/HZRat.ext.
Intego VirusBarrier X9, incluido con Paquete Premium Mac X9 de Integoes una potente solución diseñada para proteger, detectar y eliminar el malware de Mac.
Si cree que su Mac puede estar infectada, o para evitar futuras infecciones, es mejor utilizar un software antivirus de un desarrollador de Mac de confianza. VirusBarrier es un software antivirus galardonado, diseñado por expertos en seguridad de Mac, que incluye protección en tiempo real. Se ejecuta de forma nativa en Mac basadas en silicio Intel y Apple, y es compatible con el sistema operativo Mac actual de Apple, macOS Sonoma.
Una de las características únicas de VirusBarrier es que puede buscar archivos maliciosos en un iPhone, iPad o iPod touch en áreas del dispositivo accesibles para el usuario. Simplemente conecte su dispositivo iOS o iPadOS a su Mac mediante un cable USB y abra VirusBarrier.
Si utiliza una PC con Windows, Antivirus Intego para Windows puede mantener su computadora protegida contra malware.
Indicadores de compromiso (IOC)
A continuación se muestran hashes SHA-256 de muestras de malware de esta campaña:
0cca3449ff12cb75c9fd9cf4628b5d72f5ac67d1954dc97d9830436207c4c917 1400210f2eedab36caff8ce89d6d19859ba3116775981b2be8b5069ef109c2c3 1e07585f52be4605be0459bc10c67598eebe8c5d003d6e2d42f4dbbd037e74c1 5d78fc86a389247d768a6bdf46f3e4fd697ed87c133b99ee6865809e453b2908 6210ec0e905717359e01358118781a148b6d63834a54a25a95e32e228598c391 74c92a7bc5f909f4e36d65ee1eb254c438f47f1a7d559d7629bccafd2d2979db 7af7422edf7c558b6215489c020673e195e5eedd99ae330bb90066924f5cf661 87393d937407a6fe9e69dad3836e83866107809980e20a40ae010d7d72f90854 c689113a9a2fca2148caa90f71115c2c2bafeac36edebde4ffc63f87619033a9 d006d5864108094a82315ee60ce057afc8be09546ffaa1f9cc63a51a96764114 d9b0fcd3b20a82b97b4c74deebc7a2abb8fd771eaa12aaf66bdd5cdeaa30f706 e02e264a745e046f2a85ad90698fdd241c7902e73572a54995a8b20349bef940 eb7a8ddf8fc13efcc4785226d0085379399c088604a8a451b8800b11e836a5af f39aafb9489b9b60b34e3d4e78cd9720446b6247531b81cbd4877804b065a25f f3c101cd1e7be4ce6afe5d0236bfdd5b43870ff03556908f75692585cfd55c55 ffeed91c223a718c1afd6d8f059a76ec97eb0eae6c4b2072b343be1b4eba09b8
Esta campaña de malware aprovecha las siguientes direcciones IP de comando y control (C2), la mayoría de las cuales parecen estar ubicadas en China:
20.60.250[.]230 29.40.48[.]21 47.100.65[.]182 58.49.21[.]113 111.21.246[.]147 113.125.92[.]32 120.53.133[.]226 123.232.31[.]206 218.65.110[.]180 218.193.83[.]70
Los administradores de red pueden verificar los registros para intentar identificar si alguna computadora pudo haber intentado comunicarse con estas IP en las últimas semanas, lo que podría indicar una posible infección.
¿Los proveedores de seguridad detectan esto con otros nombres?
Los nombres de otros proveedores de antivirus para este malware pueden incluir variaciones de lo siguiente:
Una variante de OSX/HZRat.A, ABBackdoor.PNBT-, Backdoor:MacOS/HZRat.A, Backdoor.HZRat/OSX!1.10239 (CLASSIC), BackDoor.Rat.504, Backdoor/OSX.HZRat.57832, Backdoor/OSX .HZRat.65736, puerta trasera/OSX.HZRat.81033750, Gen:Variant.Trojan.MAC.HZRat.1 (B), HEUR:Backdoor.OSX.HZRat.a, HEUR:Backdoor.OSX.HZRat.gen, MacOS: Agente-ANR [Trj]MacOS: HZRat-A [Trj]MacOS/ABTrojan.AWJF-, MacOS/ABTrojan.BFPE-, MacOS/ABTrojan.DIJE-, MacOS/ABTrojan.FYPM-, MacOS/ABTrojan.JIKJ-, MacOS/ABTrojan.MAOD-, MacOS/ABTrojan.NRFK-, MacOS /ABTrojan.RCIO-, MacOS/ABTrojan.RQNI-, MacOS/ABTrojan.SZVP-, MacOS/ABTrojan.URYF-, MacOS/ABTrojan.XYJG-, MacOS/ABTrojan.ZCRE-, MacOS/ABTrojan.ZYUF-, Malware. OSX/GM.Agent.IJ, Malware.OSX/GM.HZRat.WL, Osx.Backdoor.Hzrat.Azlw, Osx.Backdoor.Hzrat.Bdhl, Osx.Backdoor.Hzrat.Cgow, Osx.Backdoor.Hzrat.Cwnw, Osx.Backdoor.Hzrat.Iajl, Osx.Backdoor.Hzrat.Kjgl, Osx.Backdoor.Hzrat.Lajl, Osx.Backdoor.Hzrat.Lcnw, Osx.Backdoor.Hzrat.Mqil, Osx.Backdoor.Hzrat.Msmw, Osx. Backdoor.Hzrat.Ogil, Osx.Backdoor.Hzrat.Qimw, Osx.Backdoor.Hzrat.Xtjl, Osx.Backdoor.Hzrat.Zimw, Osx.Backdoor.Hzrat.Zmhl, OSX.Trojan.Gen, OSX/Agent, OSX/ GM.Agent.IJ, OSX/HCSSET.ext, OSX/HZRat-A, OSX/HZRat.A!tr, OSX/RootRat, TROJ_FRS.0NA103HU24, troyano ( 0040f50d1 ), troyano:MacOS/HzRat.A!MTB, troyano :MacOS/Multiverze, Trojan.MAC.Generic.119695 (B), Trojan.MAC.Generic.119751 (B), Trojan.MAC.Generic.119785 (B), Trojan.MAC.Generic.D1D38F, Trojan.MAC. Generic.D1D3C7, Trojan.MAC.Generic.D1D3E9, Trojan.OSX.Hzrat, Trojan.OSX.HZRat.4!c, Trojan.OSX.HZRat.m!c, Trojan.Trojan.MAC.HZRat.1, Trojan[Backdoor]/MacOS.HZRat, troyano[Backdoor]/OSX.HZRat.gen, UDS:Backdoor.OSX.HZRat, UDS:DangerousObject.Multi.Generic, XAR/ABTrojan.MJTT-
¿Cómo puedo aprender más?
Para obtener más detalles técnicos sobre este malware, puedes leer el artículo de Sergy Puzan. informe.
Cada semana en el Podcast de Intego para MacLos expertos en seguridad de Mac de Intego analizan las últimas noticias de Apple, incluidas historias de seguridad y privacidad, y ofrecen consejos prácticos para aprovechar al máximo sus dispositivos Apple. Asegúrate de sigue el podcast para asegurarte de no perderte ningún episodio.
También puedes suscribirte a nuestro boletín de correo electrónico y mantente atento aquí El blog de seguridad de Mac para conocer las últimas noticias sobre seguridad y privacidad de Apple. Y no olvides seguir a Intego en tus canales de redes sociales favoritos:
Acerca de Joshua Long
Josué Long (@elJoshMeister), analista patrón de seguridad de Intego, es un agradecido investigador y escritor de seguridad, y un orador manifiesto premiado. Josh tiene una arte en TI con especialización en seguridad de Internet y ha realizado cursos de nivel de doctorado en seguridad de la información. Apple ha agradecido públicamente a Josh por descubrir una vulnerabilidad de autenticación de ID de Apple. Josh ha realizado investigaciones sobre ciberseguridad durante más de 25 abriles, que suelen aparecer en los principales medios de comunicación de todo el mundo. Busque más artículos de Josh en security.thejoshmeister.com y sígalo en X/Twitter, LinkedIn y Mastodon. Ver todas las publicaciones de Joshua Long →