Los investigadores de seguridad han detectado una nueva cepa de malware oculta en algunas aplicaciones macOS comúnmente pirateadas. Una vez instaladas, las aplicaciones, sin saberlo, ejecutan malware similar a un troyano en el fondo de la Mac del usuario. Lo que pase a partir de aquí no es nada bueno…
Security Bite es exclusivo de Mosyle, la única plataforma unificada de Apple. Todo lo que hacemos es hacer que los dispositivos Apple estén listos para trabajar y sean seguros para la empresa. Nuestro exclusivo enfoque integrado de gestión y seguridad combina soluciones de seguridad de última generación específicas de Apple para endurecimiento y cumplimiento totalmente automatizados, EDR de próxima generación, confianza cero impulsada por IA y gestión de privilegios exclusiva con el MDM de Apple más potente y moderno. en el mercado. El resultado es una Plataforma Unificada Apple totalmente automatizada, en la que actualmente confían más de 45.000 organizaciones para preparar millones de dispositivos Apple para trabajar sin esfuerzo y a un costo asequible. Solicite su PRUEBA EXTENDIDA hoy y comprenda por qué Mosyle es todo lo que necesita para trabajar con Apple.
Todos los domingos, Arin Waichulis ofrece información sobre la privacidad de los datos, descubre vulnerabilidades y arroja luz sobre las amenazas emergentes dentro del vasto ecosistema de Apple de más de 2 mil millones de dispositivos activos. Manténgase informado, manténgase seguro.
Mientras investigaban varias alertas de amenazas, los investigadores de Jamf Threat Lab encontraron un archivo ejecutable con el nombre .fseventsd. El ejecutable utiliza el nombre de un proceso real (no por accidente) integrado en el sistema operativo macOS que se utiliza para rastrear cambios en archivos y directorios y almacenar datos de eventos para funciones como las copias de seguridad de Time Machine. Sin embargo, .fseventsd no es un ejecutable. Es un registro nativo. Además de esto, Jamf descubrió que Apple no firmó el archivo sospechoso.
«Estas características a menudo justifican una mayor investigación», afirmó Jamf Threat Labs en una publicación de blog sobre la investigación dirigida por Ferdous Saljooki y Jaron Bradley. «Usando VirusTotal pudimos determinar que este binario .fseventsd de aspecto curioso se cargó originalmente como parte de un archivo DMG mayor».
El dúo descubrió cinco archivos de imagen de disco (DMG) que contenían código modificado de aplicaciones comúnmente pirateadas, incluidas FinalShell, Microsoft Remote Desktop Client, Navicat Premium, SecureCRT y UltraEdit.
«Estas aplicaciones se alojan en sitios web piratas chinos para conseguir víctimas», explica Jamf. «Una vez detonado, el malware descargará y ejecutará múltiples cargas útiles en segundo plano para comprometer secretamente la máquina de la víctima».
Aunque en la superficie las aplicaciones pueden verse y comportarse según lo previsto, se ejecuta un dropper en segundo plano para establecer comunicaciones con una infraestructura controlada por el atacante.
En un nivel superior, el binario .fseventsd ejecuta tres actividades maliciosas (en este orden). Primero, se carga el archivo malicioso dylib (biblioteca dinámica), que actúa como un cuentagotas que se ejecuta cada vez que se abre la aplicación. A esto le sigue una descarga binaria de puerta trasera que utiliza la herramienta de comando y control (C2) y post-explotación de código abierto Khepri y un descargador que configura la persistencia y descarga cargas útiles adicionales.
El proyecto de código abierto Khepri puede permitir a los atacantes recopilar información sobre el sistema de la víctima, descargar y cargar archivos e incluso abrir un shell remoto, explica Jamf. «Es posible que este malware sea un sucesor del malware ZuRu dadas sus aplicaciones específicas, comandos de carga modificados e infraestructura del atacante».
Curiosamente, dado que la puerta trasera de Khepri permanece oculta en un archivo temporal, se elimina cada vez que la Mac de la víctima se reinicia o se apaga. Sin embargo, el dylib malicioso se cargará nuevamente la próxima vez que el usuario abra la aplicación.
Cómo protegerte
Si bien Jamf cree que este ataque se dirige principalmente a víctimas en China (en sitios web [.]cn), es importante recordar los peligros inherentes del software pirateado. Desafortunadamente, muchos de quienes instalan aplicaciones pirateadas esperan ver alertas de seguridad porque el software no es legítimo. Esto los lleva a presionar rápidamente el botón «Instalar», omitiendo cualquier mensaje de advertencia de seguridad de macOS Gatekeeper.
Además, instale software antivirus y antimalware de buena reputación. Si bien este malware en particular puede pasar desapercibido, tener una capa adicional de defensa en Mac siempre es una buena práctica.
