malware
Publicado en
por
Josué Long
En mayo de 2023 y septiembre de 2023, y nuevamente en febrero de 2024, escribimos sobre variantes anteriores del Carero atómico Grupo de malware para Mac. Este malware, asimismo conocido como Atomic macOS Stealer o Amós para abreviar, está diseñado para extraer datos confidenciales de Mac infectados. Estos datos suelen incluir contraseñas guardadas, cookies, texto de autocompletar y carteras de criptomonedas.
AMOS se distribuye en forma de caballos de Troya, a menudo haciéndose ocurrir por versiones de aplicaciones supuestamente pirateadas o “crackeadas”. En los últimos meses, los troyanos AMOS a menudo pretenden ser las aplicaciones legítimas que imitan; emplean campañas elaboradas, aprovechando anuncios maliciosos de Google que enlazan a páginas de inicio similares con descargas de troyanos.
Durante las últimas dos semanas, Intego ha estado rastreando varias variantes nuevas de Atomic Stealer. Aquí encontrará todo lo que necesita conocer sobre ellos y cómo mantenerse protegido.
En este artículo:
Mimetismo de File Juicer, Débito y Crédito, movilidad NFT paralelo y Notion
Las últimas variantes de AMOS se hacen ocurrir por varias aplicaciones diferentes, todas distribuidas a través de imágenes de disco DMG.
Instaladores falsos de aplicaciones “File Juicer” y “Debit & Credit”
Al menos dos imágenes de disco, cuando están montadas, incluyen una sola aplicación indicación “AppleApp” con un ícono que implica que es un instalador.
Una variable del instalador impostor alabarda una lectura troyanizada de File Juicer, una aplicación para extraer archivos incrustados de varios formatos de documentos. La aplicación verdadero cuesta $19.
Una segunda variable de instalador impostor alabarda una lectura troyanizada de Debit & Credit, una aplicación de finanzas personales que normalmente sólo está acondicionado a través de Mac App Store. La aplicación verdadero se puede descargar gratis, pero hay una “lectura premium” acondicionado mediante una adquisición en el interior de la aplicación por $19,99.
Adulterado movilidad NFT TCG “paralelo”
Otra imagen de disco, cuando está montada, incluye una única aplicación indicación “WorldParallel”. Con un poco de investigación, descubrimos que este troyano imita un movilidad de cartas coleccionables digitales basado en NFT solo para Windows llamado Parallel, que su desarrollador describe como “un mundo de ciencia ficción y un movilidad de cartas”.
No es sorprendente ver que el malware se disfraze de poco relacionado con tokens no fungibles (NFT), cadenas de bloques o criptomonedas; Las aplicaciones falsas de billeteras criptográficas son otro heroína de Troya popular. Incluso hemos observado malware chorizo que se distribuyó a través de elaboradas campañas de marketing de videojuegos.
Esto se debe a que el objetivo principal del malware chorizo suele ser intentar exfiltrar carteras digitales, que pueden contener activos valiosos como criptomonedas u obras de arte digitales raras.
Aplicación falsa “Notion”
Y por final, pero no menos importante, seríamos negligentes si no mencionáramos que, una vez más, algunas muestras de AMOS imitaban el software de productividad Notion.
En febrero mencionamos que AMOS se había estado propagando a través de anuncios maliciosos de Google que imitaban anuncios reales del software Notion.
Fuente de estas nuevas infecciones por AMOS
Aunque no hemos confirmado definitivamente la fuente diferente de estas infecciones, es probable que el equipo detrás de AMOS esté haciendo sus trucos habituales, incluyendo Intoxicación por anuncios de Google. Los actores de amenazas a menudo pagan a Google por la mejor ubicación, con anuncios patrocinados disfrazados de anuncios reales de software legítimo. Estos anuncios aparecen inmediatamente encima de los resultados de búsqueda reales; Si no tiene cuidado, podría visitar sin darse cuenta un sitio de distribución de malware en lugar de llegar al sitio del desarrollador de software real.
Recomendamos que los consumidores abandonen el hábito de “simplemente buscar en Google” para encontrar sitios legítimos. Estos hábitos a menudo incluyen hacer clic en el primer enlace sin pensarlo mucho, bajo el supuesto de que Google no los desviará y les dará el resultado correcto justo en la parte superior. Los creadores de malware lo saben, por supuesto, y es por eso que le pagan a Google por la posición número uno.
Hasta que Google haga un trabajo mucho mejor al examinar sus anuncios, o a menos que Google, una mejor práctica que “Google it” sería marcar sitios confiables siempre que sea posibley volver a esos marcadores en el futuro.
Malware incrustado dentro del malware
Una observación interesante del laboratorio de análisis de malware de Intego es que muchas de las aplicaciones de la etapa inicial (dropper) contienen la carga secundaria incorporada.
En algunos casos, la carga útil incorporada no estaba ofuscada (es decir, era claramente visible). Sin embargo, en otros casos, la carga útil incorporada estaba codificada en Base64, en un débil intento de ocultar la carga útil del software antivirus.
Los “droppers” son muestras de malware en etapa inicial diseñadas para obtener e instalar malware adicional. Por lo general, los droppers se conectan a sitios maliciosos o pirateados para obtener sus cargas útiles de la siguiente etapa. Incrustar cargas útiles dentro del propio dropper a veces puede permitir que las campañas de malware tengan éxito durante un poco más de tiempo. Esto se debe a que los sitios que alojan malware pueden desconectarse rápidamente o desinfectarse y parchearse tan pronto como el propietario del sitio se da cuenta de la infección. En el caso de un dominio malicioso recién registrado, el registrador puede retomar el control del dominio, desconectarlo y revocar el acceso del comprador.
¿Cómo puedo mantener mi Mac a salvo de AMOS y otro malware?
Si utiliza Intego VirusBarrier, ya está protegido contra este malware. Intego detecta estas muestras como OSX/Amos.ext, virus/OSX/AVI.AMOS.jlei, virus/OSX/AVI.AMOS.lydw, virus/OSX/AVI.AMOS.mlhsy nombres similares.
Intego VirusBarrier X9, incluido con Paquete Premium Mac X9 de Integoes una potente solución diseñada para proteger, detectar y eliminar el malware de Mac.
Si cree que su Mac puede estar infectada, o para evitar futuras infecciones, es mejor utilizar un software antivirus de un desarrollador de Mac de confianza. VirusBarrier es un software antivirus galardonado, diseñado por expertos en seguridad de Mac, que incluye protección en tiempo real. Se ejecuta de forma nativa en Mac basadas en silicio Intel y Apple, y es compatible con el sistema operativo Mac actual de Apple, macOS Sonoma.
Una de las características únicas de VirusBarrier es que puede buscar archivos maliciosos en un iPhone, iPad o iPod touch en áreas del dispositivo accesibles para el usuario. Para comenzar, simplemente conecte su dispositivo iOS o iPadOS a su Mac mediante un cable USB y abra VirusBarrier.
Si utiliza una PC con Windows, Antivirus de destino para Windows puede mantener su computadora protegida contra malware.
Indicadores de compromiso (IOC)
Como es habitual, algunas de las muestras de Atomic Stealer que encontramos tienen una tasa de detección muy baja en el sitio de escaneo de archivos individuales multimotor VirusTotal. En varias muestras, sólo entre 5 y 8 de más de 60 motores antivirus parecen detectarlos. Al menos tres muestras (dos archivos binarios Mach-O y una imagen de disco DMG) no fueron detectadas cuando se cargaron por primera vez en VirusTotal.
A continuación se muestran hash SHA-256 de muestras de malware relacionadas con estas nuevas campañas de malware AMOS:
8ef8fd7284843ab9e9309324a1eb9244850d9c2509ce9688dbf18f41c1370c4d 1dc2465654b7c5975d759649f023836c2af44c6a2936a71aad7e4e6c04fc0de9 8dd270c85f193617cd19ee268f852a8a19c90d470d1111b0ec50196087514277 78b7578fd77e6b3ea104f4c9f62c35fca5598caa430846c818b9e75540e10ef4 8e2d24aa70563688a80426d542883f45387cd093a2223fbd1320ecb95769fdf2 c405178e388752c5723e4dacde8b328abae15a7b953b438160d3e91a4386533f 6881e8b2c584e4b2fe05af6b501d5f4a6e43a7890d36b6da6b5342313cb5ce4e f747be2535bb146e1c7737dfc7c025419c92a877d7b51033eb3c48e6c08ce7cb 7944a8c9445c74975f14ebeee6ae5f1f7a50b39e5d4b478c645744b661754858 4d5e9d97e48a72639193b9dd4c0bcced376bde7943b87f0aea5333021c0cb073 9b0795e9b965b64a8931a8f9a7ac6ebd26f5dd7d70adaea7be13b04bfe56f6d5 34053a4fcddc5c3553eb9d988b32bc7bddae2ac63fdfc5b00a8270047706bd24 fb34bf9a66ff444c3a83b614af1ee2c5771cf21a676155207f1eefe52b89d2f1 ceb7c1a06a4c938a65d97aedbe2e18ca333f71827a015a0342ba1c13734c2032 d02aee0fc3c03558eaf99afd8d54424e59f7aa6c957bc49126484ad3071472dd 399614070ed2a44857d153979ee1ea0e2b05731d22409dede07b39d0869bcc90 1167f14f456e4bb54dc23fe858b571832fbb4e4801c883e134ba01270e6ef6b6 fdaaa25cc6be47bc893f773fcd7c0d8ad6c3618bf931f4b728eb5a1d920527f5 55e587ea12e590e70c500643cf2555a98edd00f90ee19aee0089998faf017b96 379fc1ec90b98ac4312184fda5a810ac7114e39385901103ca07dd22bb5382f1 88b5d4ec8b8ccc4d2b791317e1be6a24db98175af4c9f42d6a7cc277a0012b58 8c922dead9372c87c08f2e25f96538154be922a1511bb947e631b2d4a31bba2a d1b0fc3d03b4e6cd14b430daf0361989b8a65e87c30d5ea7436b1d51864114b6
Los siguientes dominios se han utilizado recientemente en relación con estas muestras de AMOS:
dowlosutr[.]click farmfrnd[.]com tarafe[.]com
Los administradores de red pueden verificar los registros para intentar identificar si alguna computadora ha intentado comunicarse con uno de estos dominios recientemente, lo que podría indicar una posible infección.
¿Cómo puedo aprender más?
Asegúrese de consultar también nuestro Pronóstico de malware de Apple para 2024 y nuestros artículos anteriores sobre malware de Mac de 2024 y anteriores.
Cada semana en el Podcast de destino para MacLos expertos en seguridad de Mac de Intego analizan las últimas novedades de Apple, incluidas historias de seguridad y privacidad, y ofrecen consejos prácticos para sacar el máximo partido a sus dispositivos Apple. Asegúrate de sigue el podcast para asegurarte de no perderte ningún episodio.
También puedes suscribirte a nuestro boletín de correo electrónico y mantente atento aquí El blog de seguridad de Mac para conocer las últimas noticias sobre seguridad y privacidad de Apple. Y no olvides seguir a Intego en tus canales de redes sociales favoritos:
Acerca de Joshua Long
Josué Long (@elJoshMeister), analista principal de seguridad de Intego, es un agradecido investigador y escritor de seguridad, y un orador conocido condecorado. Josh tiene una habilidad en TI con especialización en seguridad de Internet y ha realizado cursos de doctorado en seguridad de la información. Apple ha agradecido públicamente a Josh por descubrir una vulnerabilidad de autenticación de ID de Apple. Josh ha realizado investigaciones sobre ciberseguridad durante más de 25 primaveras, que suelen aparecer en los principales medios de comunicación de todo el mundo. Busque más artículos de Josh en security.thejoshmeister.com y sígalo en X/Twitter, LinkedIn y Mastodon. Ver todas las publicaciones de Joshua Long →