malware
Publicado en
por
Josué Long
A principios de la semana pasada, surgió un nuevo tahúr en el turbio mercado clandestino de malware ratero para Mac. Ratero de alma en pena es el malware más flamante que puede robar sus contraseñas, permitir que los piratas informáticos accedan a sus cuentas y vacíen sus billeteras digitales.
Aquí encontrará todo lo que necesita enterarse para mantenerse a menos de esta nueva amenaza de malware para Mac.
Una breve historia del malware ratero en Mac
Hemos mencionado en artículos anteriores sobre malware que, en abril de 2023, Atomic macOS Stealer (AMOS o AtomicStealer) se lanzó como una comunidad de malware centrada específicamente en resumir y exfiltrar datos confidenciales de Mac. El actor de amenazas innovador, que se hace tachar ping3r, comenzó a venderlo a través de Telegram como “malware como servicio”; es sostener, otros actores de amenazas podrían licenciarlo, inicialmente por 1.000 dólares al mes.
Desde entonces, hemos manido muchas variantes e imitadores de AMOS, tanto a la saldo en el mercado enfadado como en el mercado disponible. Escribimos sobre campañas posteriores en septiembre de 2023 y febrero de 2024. En mayo, escribimos sobre una variación de ratero previamente indocumentada que descubrió el equipo de investigación de Intego. Todavía documentamos otra variación, denominada Cuco, una interpretación de la cual nuestro equipo incluso desenterró. Intego incluso fue el primero en escribir sobre un ratero disfrazado de navegador Arc. A menudo hablamos de nuevas variantes de malware ratero en el podcast de Intego para Mac.
Muy a menudo, el malware AMOS y sus imitadores se distribuyen a través de campañas maliciosas de Google Ads. Estos anuncios envenenados de Google aparecen en la parte superior de los resultados de búsqueda, donde muchas personas los verán y harán clic en ellos. A primera presencia, los anuncios a menudo son indistinguibles de los anuncios legítimos de Google publicados por las empresas de software reales que imitan. (Por lo tanto, recomendamos mirar detenidamente los resultados de la búsqueda antaño de hacer clic y, si se proxenetismo de un anuncio, evitar hacer clic en él).
Imitadores notables de AMOS
Apartado del mencionado Cuckoo, determinado dispar de ping3r ha desarrollado un puñado de imitadores o ramificaciones de AMOS. Un desarrollador de clones de AMOS que se hacía tachar alh1meg aparentemente desarrolló un ratero llamado ALH1MIK.
Un imitador de AMOS más conocido es Poseidón, que fue desarrollado por Rodrigo4; escribimos sobre ello en julio. Según ping3r, Rodrigo4 fue uno de los cuatro codificadores originales que desarrollaron AMOS. Supuestamente, Rodrigo4 vendió Poseidon a otro actor de amenazas a principios de este mes por 83.000 dólares en Bitcoin.
Poco a posteriori de la saldo de Poseidon, 0xe1 Ratero de alma en pena entró en estampa. Parece estar en incremento sobrado activo; Según se informa, esta semana fue reescrito en Objective-C.
¿Qué hace Banshee Stealer?
Como es representativo del malware de robo de Mac, Banshee Stealer recopila y exfiltra los archivos de las víctimas. contraseñas, cookies, historial del navegador y datos de autocompletar, y billeteras de criptomonedas. Todavía recoge los datos de las víctimas. Apple Notes, documentos de Microsoft Word y claves de criptográfico.
Banshee Stealer evita ejecutarse en Mac con el ruso configurado como idioma principal. Luego de resumir todos los datos específicos, filtra la información de las víctimas a un servidor que parece estar emplazado en Rusia, según su dirección IP.
¿Por qué el malware ratero recopila cookies?
Quizás cuestione la utilidad de resumir cookies del navegador. Luego de todo, las cookies tienen triunfo de ser una aparejo de seguimiento, gracias al demasía histórico de las cookies de terceros. Pero los sitios suelen utilizar cookies con fines legítimos, por ejemplo, para acumular las preferencias de su sitio (como modo claro u tenebroso, temas, idioma predeterminado, etc.).
La mayoría de las personas no saben que las cookies incluso pueden representar como un método de autenticación de proxy para proseguir la sesión iniciada en un sitio. Por lo tanto, al obtener las cookies de sesión de una víctima, un atacante a menudo puede evitar la falta de conocer el nombre de afortunado y la contraseña de la víctima, e incluso puede evitar cualquier autenticación de dos factores que haya facultado.
Una vez que obtienen paso a las cuentas de las víctimas, los atacantes podrían hacer una variedad de cosas nefastas; por ejemplo, podrían hacerse sobrevenir por víctimas en las redes sociales o mandar mensajes privados o correos electrónicos a amigos, familiares y colegas de las víctimas. Los contactos de una víctima podrían convertirse en víctimas secundarias si son víctimas de estafas o enlaces maliciosos que aparentemente provienen de su amigo.
¿Cómo puedo proseguir mi Mac a menos del malware ratero?
Si utiliza Intego VirusBarrier, ya está protegido contra este malware. Intego detecta estas muestras como OSX/BansheeStealer, OSX/Downloader.go, virus/OSX/AVI.Agent.bbyey nombres similares.
Intego VirusBarrier X9, incluido con Paquete Premium Mac X9 de Integoes una potente solución diseñada para proteger, detectar y eliminar el malware de Mac.
Si cree que su Mac puede estar infectada, o para evitar futuras infecciones, es mejor utilizar un software antivirus de un desarrollador de Mac de confianza. VirusBarrier es un software antivirus galardonado, diseñado por expertos en seguridad de Mac, que incluye protección en tiempo real. Se ejecuta de forma nativa en Mac basadas en silicio Intel y Apple, y es compatible con el sistema operativo Mac actual de Apple, macOS Sonoma.
Una de las características únicas de VirusBarrier es que puede buscar archivos maliciosos en un iPhone, iPad o iPod touch en áreas del dispositivo accesibles para el usuario. Simplemente conecte su dispositivo iOS o iPadOS a su Mac mediante un cable USB y abra VirusBarrier.
Si utiliza una PC con Windows, Antivirus de destino para Windows puede mantener su computadora protegida contra malware.
Indicadores de compromiso (IOC)
A continuación se muestran hashes SHA-256 de muestras de malware de esta campaña:
00284601ed89be5b44d9a4219f7ee271dfd68186937b41a26c283a6a129e7a28 03edcd7ad527fc90ea913eb76f74d12b111c1ed3a8dd6fd5f73fc2437aff3385 04a926b98c7d7e6b85916ef9dbb0e9068df318c399b696c04fbdfa3f0f591a21* 11aa6eeca2547fcf807129787bec0d576de1a29b56945c5a8fb16ed8bf68f782 653e769b11784a71e184ae145d3ba4447e332dabccb5958508edaf96f6f80d1b* 66eae1df6dedd0ad5dee7d6eaed8eb3e1edd93c5bb5cc54204f48506466a844a* 7210ce47323d4bdeb99bd27b22f00099000c473a04048e2c90576f81d1194647 7a6c0b683961869fc159bf8da1b4c86bc190ee07b0ad5eb09f99deaac4db5c69 92791b72b06e7d1eddd796c2afed565391a451d5daee5cc5083b86477acba8db 95b554f13d27126d04504cf35da185f572cfd6497cd86d6be0f21eb98fc4c75c a1e36c1b872fa4b2f39ff497a6c597769044e6275e0bb1ca1c1c9ae94a32cf80 b2a5b16d6c36cf6f50c0fabada8ceb5d1973af2bd7f8c9194f1f19b4efb0bd4f d556042c8a77ba52d39e211f208a27fe52f587047140d9666bbeca6032eae604* *first reported by Intego
Esta campaña de malware aprovecha los siguientes dominios y direcciones IP:
banshee-stealer[.]com ycf6a3d4lbdfksa3pvpe2xozacvb42fpttn3kah4bqt7txr3dxgwxpad[.]onion 45.142.122[.]92 154.216.18[.]135
Los administradores de red pueden verificar los registros para intentar identificar si alguna computadora pudo haber intentado comunicarse con estos dominios o IP en las últimas semanas, lo que podría indicar una posible infección.
Banshee Stealer coloca una carga útil maliciosa de AppleScript en la siguiente ruta:
/tmp/tempAppleScript.scpt
Este archivo debe eliminarse si se encuentra en una Mac infectada.
¿Los proveedores de seguridad detectan esto con otros nombres?
Los nombres de otros proveedores de antivirus para este malware pueden incluir variaciones de lo siguiente:
Gen:Variant.Trojan.MAC.Stealer.45 (B), HEUR:Trojan-PSW.OSX.Amos.w, IOS/ABApplication.EC, IOS/ABApplication.SYS, Mac.PWS.Stealer.4, MacOS/ABApplication .DHO, MacOS/ABTrojan.BMVB-, MacOS/ABTrojan.MKKD-, MacOS/ABTrojan.MVKB-, MacOS/ABTrojan.NDDU-, Malware.OSX/Agent.ymgcy, Malware.OSX/AVF.Agent.ladbk, Malware .OSX/AVI.Agent.bbyeq, Malware.OSX/AVI.Agent.gouso, Osx.Trojan-QQPass.QQRob.Dflw, Osx.Trojan-QQPass.QQRob.Fkjl, Osx.Trojan-QQPass.QQRob.Hjgl, Osx .Trojan-QQPass.QQRob.Kqil, Osx.Trojan-QQPass.QQRob.Kzfl, Osx.Trojan-QQPass.QQRob.Nzfl, Osx.Trojan-QQPass.QQRob.Ozfl, Osx.Trojan-QQPass.QQRob.Rgil, Osx .Trojan-QQPass.QQRob.Sgil, Osx.Trojan-QQPass.QQRob.Vimw, Osx.Trojan-QQPass.QQRob.Xtjl, OSX.Trojan.Gen.2, OSX/Agent.CC!tr.pws, OSX/Agent .ymgcy, OSX/AVF.Agent.ladbk, OSX/AVI.Agent.bbyeq, OSX/AVI.Agent.gouso, OSX/InfoStl-DP, OSX/PSW.Agent.CC, Otros:Malware-gen [Trj]PossibleThreat, TR/Agent.fplgz, TR/Agent.hkgkp, TR/Agent.hqnuk, TR/Agent.pksuz, TR/Agent.slkgx, TR/Agent.xzqbb, TR/Agent.yscrf, troyano (0040f5111), troyano -Spy.OSX.BansheeStealer, Trojan:MacOS/Amos.AO!MTB, Trojan:MacOS/Multiverze, Trojan.Agent, Trojan.MAC.Generic.119790 (B), Trojan.MAC.Generic.119791 (B), Trojan .MAC.Generic.119793 (B), Trojan.MAC.Generic.119795 (B), Trojan.MAC.Generic.D1D3EE, Trojan.MAC.Generic.D1D3EF, Trojan.MAC.Generic.D1D3F1, Trojan.MAC.Generic .D1D3F3, Trojan.OSX.Amos.i!c, Trojan.OSX.Psw, Trojan.OSX.Stealer, Trojan.TR/Agent.fplgz, Trojan.TR/Agent.hkgkp, Trojan.TR/Agent.hqnuk, Trojan .TR/Agent.pksuz, Trojan.TR/Agent.slkgx, Trojan.TR/Agent.xzqbb, Trojan.TR/Agent.yscrf, Trojan.Trojan.MAC.Stealer.45, Trojan[stealer]:MacOS/Amos.AP8PHU, troyano[stealer]:MacOS/Amos.w, troyano[stealer]:MacOS/Multiverze.Gen, Trojan/Generic!14B160E67D415427, Trojan/Generic!8E8865F4CCCB0349, Trojan/OSX.Agent.920200, TrojanSpy/OSX.Stealer.k, UDS:Trojan-PSW.OSX.Amos.w, WS.Malware .1
¿Cómo puedo aprender más?
Para obtener más detalles técnicos sobre este malware, puede leer el artículo de Elastic informe y mire el vídeo de L0psec Reversing.
Intego también quiere agradecer a Alex Kleber[1][2][3]DefSecSentinel[1][2]Karol Paciorek, L0Psec, Phil Stokes y Victor Kubashok por sus contribuciones públicas a la investigación de esta amenaza.
Cada semana en el Podcast de destino para MacLos expertos en seguridad de Mac de Intego analizan las últimas novedades de Apple, incluidas historias de seguridad y privacidad, y ofrecen consejos prácticos para sacar el máximo partido a sus dispositivos Apple. Asegúrate de sigue el podcast para asegurarte de no perderte ningún episodio.
También puedes suscribirte a nuestro boletín de correo electrónico y mantente atento aquí El blog de seguridad de Mac para conocer las últimas noticias sobre seguridad y privacidad de Apple. Y no olvides seguir a Intego en tus canales de redes sociales favoritos: 
Crédito de la imagen: Banshee de Michelle Monique (CC BY-SA 3.0)
Acerca de Joshua Long
Josué Long (@elJoshMeister), analista cabecilla de seguridad de Intego, es un agradecido investigador y escritor de seguridad, y un orador manifiesto distinguido. Josh tiene una arte en TI con especialización en seguridad de Internet y ha realizado cursos de doctorado en seguridad de la información. Apple ha agradecido públicamente a Josh por descubrir una vulnerabilidad de autenticación de ID de Apple. Josh ha realizado investigaciones sobre ciberseguridad durante más de 25 abriles, que a menudo aparecen en los principales medios de comunicación de todo el mundo. Busque más artículos de Josh en security.thejoshmeister.com y sígalo en X/Twitter, LinkedIn y Mastodon. Ver todas las publicaciones de Joshua Long →
