MIAMI.- Investigadores informáticos han detectado un nuevo malware dirigido a sistemas Apple macOS que funciona como una combinación entre virus de robo de información y software espía, principalmente de carteras de criptomonedas y aplicaciones de mensajería.
Según informa el sitio web The Hacker News, se trata de una amenaza identificada como Cuckoo, que se visualizó por primera vez el 24 de abril de 2024. Se determinó que no sólo ataca a los ordenadores Mac más nuevos que ejecutan Apple Silicon, sino también a las Mac más antiguas basadas en Intel.
Según expertos de seguridad de la empresa de gestión de dispositivos Kandji, este nuevo malware funciona capturando claves privadas criptográficas copiadas en el portapapeles y datos asociados con las extensiones de billetera instaladas en Google Chrome.
Los investigadores de la compañía Adam Kohler y Christopher López señalaron que descubrieron un binario Mach-O malicioso no detectado previamente con el nombre "DumpMedia Spotify Music Converter”.
Aunque el vector de distribución exacto no está claro actualmente, hay indicios de que el binario está alojado en varios sitios que ofrecen versiones gratuitas y de pago de aplicaciones dedicadas a extraer música de servicios de transmisión y convertirla al formato MP3 de manera pirata.
Capacidades de espionaje y robo de información
Los investigadores explicaron que este malware está diseñado para extraer archivos del hardware “asociados con aplicaciones instaladas específicas, en un intento de recopilar la mayor cantidad de información posible del sistema”.
Cuckoo, al igual que el malware ladrón de macOS MacStealer, también aprovecha el comando osascript para mostrar una solicitud de contraseña falsa para engañar a los usuarios para que ingresen sus contraseñas del sistema para escalar privilegios.
A su vez, puede tomar capturas de pantalla de proceso actualmente en ejecución, recopilar datos de varias fuentes como iCloud Keychain, Apple Notes, navegadores web, billeteras de criptomonedas y aplicaciones como Discord, FileZilla, Steam y Telegrama.
Una vez ejecutado, también establece persistencia mediante el host instalado LaunchAgent, lo que garantiza que permanezca activo incluso después de que se reinicie el sistema. Una técnica adoptada previamente utilizada en la campaña de malware que se ha ejecutado desde noviembre del 2023, con muestras recientes encontradas en diferentes familias de malware como RustBucket , XLoader y JaskaGO.
Una investigación más profunda reveló que este binario se firmó ad hoc sin una identificación de desarrollador, lo que significa que la función de seguridad Gatekeeper de macOS inicialmente bloquearía la ejecución de la aplicación, para lo que requeriría la intervención manual del usuario para anular y permitir la ejecución.
El descubrimiento se produce casi un mes después de que la empresa de gestión de dispositivos Apple identificó otro malware llamado CloudChat, que se hace pasar por una aplicación de mensajería orientada a la privacidad y es capaz de comprometer a los usuarios de macOS cuyas direcciones IP no están geolocalizadas en China.
Seguridad en duda
Apple ha utilizado desde hace muchos años la seguridad como un argumento de peso para asegurar que sus dispositivos estaban a salvo de infecciones de virus que circulan en la red. Sin embargo, estas opciones de seguridad se han ido minimizando no solo en ordenadores, sino en smartphones y tablets, que también están expuestos al riesgo de los malware.
El último informe publicado por la empresa de software Jamf reveló que ya se han registrado 300 familias de malware que afectan a los ordenadores de la empresa de la manzana. En el año 2023 se añadieron 21 nuevas entradas en la lista que confirma que macOS no es tan seguro como los clientes se imaginan.
Estos datos subrayan la necesidad de una vigilancia continua y medidas de seguridad sólidas para proteger los datos confidenciales de los ciberdelincuentes.
@Lydr05
FUENTE: Con información de The Hacker News, Toms Guide y Cybersecuritynews