malware
Publicado en
por
Josué Long
El 15 de julio, MalwareHunterTeam (MHT) publicó un hilo en X sobre una aplicación de videoconferencia falsa para Mac. Al parecer, el malware se dirigía a los usuarios de Mac a través de mensajes no solicitados de LinkedIn sobre oportunidades laborales.
Echemos un vistazo breve a lo que hace el malware y cómo se distribuyó.
¿Qué hacen los programas maliciosos BeaverTail e InvisibleFerret?
MalwareHunterTeam observó que los motores antivirus de VirusTotal no detectaron en inmutable el heroína de Troya (“FUD”) en esa época. Si adecuadamente este malware se hace tener lugar por un software existente, en ingenuidad es un heroína de Troya zorro.
Interesante, FUD en VT, “MiroTalk.dmg”: 9abf6b93eafb797a3556bea1fe8a3b7311d2864d5a9a3687fce84bc1ec4a428c
Carga útil/próximas etapas provienen de 95.164.17[.]24:1224 (Stark AS 44477).
De un vistazo rápido, las siguientes etapas incluyen el robo de navegadores, el registro de teclas, la instalación de AnyDesk,… pic.twitter.com/YRIMLPl5r8—MalwareHunterTeam (@malwrhunterteam) 15 de julio de 2024
Varias horas más tarde, el analista de malware Patrick Wardle publicó su propia evaluación original del malware. Evidentemente, es un puerto nativo de macOS de nalgas de castor (malware estafador y cuentagotas basado en JavaScript). Se distribuye unido con InvisibleHurón (Malware de puerta trasera basado en Python). Unit 42 publicó un noticia sobre versiones anteriores de estas familias, entonces sin una aplicación nativa para Mac, a finales del año pasado.
Aparentemente, el troyano rastreo varias extensiones relacionadas con criptomonedas y extrae datos de los navegadores Google Chrome, Brave y Opera. Igualmente apunta a la pulvínulo de datos de llaveros de inicio de sesión de macOS. Luego de compilar subrepticiamente datos confidenciales de una Mac infectada, el malware extrae estos datos a un servidor controlado por el atacante.
El investigador de malware Jaromir Horejsi señaló que la traducción para Mac de este malware parece descuidada; incluye referencias a una aplicación Windows .exe.
Cómo se propaga el malware: oportunidades laborales falsas
Como observó MalwareHunterTeam en su hilo, averiguar la dirección IP del teléfono residencial del malware revela que ya se ha utilizado durante más de un mes. Una víctima inicial publicó en Reddit el 11 de junio sobre cómo un estafador había intentado infectarlos:
Cualquiera me envió un mensaje en LinkedIn preguntándome si tenía alguna experiencia con web3. …
Me pidieron que pasara la conversación a Telegram (🚩). Acepté. Por Telegram me enviaron el enlace a un repositorio de GitHub. El repositorio era manifiesto, pero con pocas confirmaciones y 0 estrellas. …
Supongo que ese script habría intentado robar mis cookies, criptografía si tuviera alguna, definitivamente es poco zorro. Denuncié al heredero en LinkedIn y en el repositorio. Espero que tomen medidas pronto.
¡Manténgase a ileso y no ejecute código de extraños!
Desde entonces, se eliminó el repositorio de GitHub.
Como señala Wardle en su artículo: “Es popular que la RPDC [North Korean] Los piratas informáticos apuntan a sus víctimas haciéndose tener lugar por buscadores de empleo”. Ciertamente hemos manido ataques similares antiguamente; En el episodio del 6 de abril de 2023 del Intego Mac Podcast hablamos sobre cómo los actores de amenazas norcoreanos incluso estaban apuntando a investigadores de ciberseguridad. Se han llevado a lado campañas similares durante al menos los últimos tres primaveras, si no más.
¿Cómo puedo permanecer mi Mac a ileso de malware similar?
Si utiliza Intego VirusBarrier, ya está protegido contra este malware. Intego detecta estas muestras como OSX/Nukesped, OSX/estafador, virus/OSX/AVF.Agent.deany nombres similares.
Intego VirusBarrier X9, incluido con Paquete Premium Mac X9 de Integoes una potente solución diseñada para proteger, detectar y eliminar el malware de Mac.
Si cree que su Mac puede estar infectada, o para evitar futuras infecciones, es mejor utilizar un software antivirus de un desarrollador de Mac de confianza. VirusBarrier es un software antivirus galardonado, diseñado por expertos en seguridad de Mac, que incluye protección en tiempo real. Se ejecuta de forma nativa en Mac basadas en silicio Intel y Apple, y es compatible con el sistema operativo Mac actual de Apple, macOS Sonoma.
Una de las características únicas de VirusBarrier es que puede buscar archivos maliciosos en un iPhone, iPad o iPod touch en áreas del dispositivo accesibles para el usuario. Simplemente conecte su dispositivo iOS o iPadOS a su Mac mediante un cable USB y abra VirusBarrier.
Si utiliza una PC con Windows, Antivirus de destino para Windows puede mantener su computadora protegida contra malware.
Indicadores de compromiso (IOC)
A continuación se muestran hashes SHA-256 de muestras de malware de esta campaña:
10f86be3e564f2e463e45420eb5f9fbdb14f7427eac665cd9cc7901efbc4cc59 9abf6b93eafb797a3556bea1fe8a3b7311d2864d5a9a3687fce84bc1ec4a428c f08e88c7397443e35697e145887af2683a83d2415ccd0c7536cea09e35da9ef7
Esta campaña de malware aprovecha el siguiente dominio y dirección IP:
mirotalk[.]net 95.164.17[.]24
Los administradores de red pueden verificar los registros para intentar identificar si alguna computadora pudo haber intentado comunicarse con este dominio o IP en las últimas semanas, lo que podría indicar una posible infección.
¿Los proveedores de seguridad detectan esto con otros nombres?
Los nombres de otros proveedores de antivirus para este malware pueden incluir variaciones de lo siguiente:
DMG/ABTrojan.TCFF-, HEUR:Trojan-PSW.OSX.BeaverTail.a, MacOS:Stealer-AS [Trj]MacOS/ABTrojan.AJWE-, Malware.OSX/AVF.Agent.deane, Malware.OSX/GM.Stealer.DP, Osx.Trojan-QQPass.QQRob.Edhl, Osx.Trojan-QQPass.QQRob.Pnkl, OSX.Trojan .Gen, OSX/AVF.Agent.deane, OSX/GM.Stealer.DP, OSX/InfoStl-DO, OSX/NukeSped.AN, Python:Nukesped-E [Trj]Python: Nukesped-F [Drp]TROJ_FRS.0NA104GH24, TROJ_FRS.VSNTGH24, Trojan-Spy.OSX.BeaverTail, Trojan-Spy.Python.Agent, Trojan:MacOS/BeaverTail!MTB, Trojan:MacOS/Multiverze, Trojan:Python/NukeSped.E, Trojan:Python/ NukeSped.G, Trojan.Generic.36558217 (B), Trojan.Generic.D461A7BC, Trojan.GenericKD.73508796 (B), Trojan.OSX.BeaverTail.i!c, Trojan.OSX.Nukesped.i!c, Trojan[stealer]:MacOS/NukeSped.AT, Trojan/OSX.Agent.20784310, Trojan/OSX.Agent.770832, UDS:Trojan-PSW.OSX.BeaverTail.a
¿Cómo puedo aprender más?
Hablamos brevemente de este malware en episodio 354 del podcast de Intego Mac:
Para un análisis técnico más profundo del malware, puede leer el artículo de Patrick Wardle. También puede leer investigaciones anteriores sobre campañas similares, escritas por Unit42 y por D. Iuzvyk, T. Peck y O.Kolesnikov.
Cada semana en el Podcast de destino para MacLos expertos en seguridad de Mac de Intego analizan las últimas noticias, historias de seguridad y privacidad de Apple y ofrecen consejos prácticos para aprovechar al máximo sus dispositivos Apple. Asegúrate de sigue el podcast para asegurarte de no perderte ningún episodio.
También puedes suscribirte a nuestro boletín de correo electrónico y mantente atento aquí El blog de seguridad de Mac para conocer las últimas noticias sobre seguridad y privacidad de Apple. Y no olvides seguir a Intego en tus canales de redes sociales favoritos: 
Acerca de Joshua Long
Josué Long (@elJoshMeister), analista patrón de seguridad de Intego, es un agradecido investigador y escritor de seguridad, y un orador manifiesto laureado. Josh tiene una ingenio en TI con especialización en seguridad de Internet y ha realizado cursos de doctorado en seguridad de la información. Apple ha agradecido públicamente a Josh por descubrir una vulnerabilidad de autenticación de ID de Apple. Josh ha realizado investigaciones sobre ciberseguridad durante más de 25 primaveras, que a menudo aparecen en los principales medios de comunicación de todo el mundo. Busque más artículos de Josh en security.thejoshmeister.com y sígalo en X/Twitter, LinkedIn y Mastodon. Ver todas las publicaciones de Joshua Long →
