money
La empresa de seguridad Mosyle Recientemente encontró un nuevo malware a macosa llamado Jscoreurunnerque se centra en los usuarios del navegador Google Chrome y explora la popularidad de los sitios web y aplicaciones de conversión de archivos.
Clasificado con un caballo troyano/adwarela amenaza se distribuye a través de un sitio web falso («Fileripple[.]con ”), vendido como una herramienta legítima de edición PDF.
Según la compañía, JSCORERUnner opera en dos fases: primero, hace que la víctima descargue un instalador (FileRipple.pkg), que sería de la herramienta anterior, pero que, de hecho, sirve para realizar una serie de códigos maliciosos que descargan otro instalador (Safari14.1.2MojaveAuto.pkg) En el fondo.
En un segundo momento, el malware apunta, como se dice, Chrome, cambiando el motor de búsqueda estándar a una alternativa fraudulenta, lo que expone todo lo que el usuario busca en Internet y lo redirige a los sitios web phishing y otra página descubierta.
Según los investigadores, Apple ya ha revocado el certificado de desarrollador detrás del primer instalador (FileRipple.pkg), haciendo que MacOS lo bloquee tan pronto como la víctima intente ejecutarlo. El segundo instalador (Safari14.1.2MojaveAuto.pkg), sin embargo, no está firmado por la manzana, lo que lo hace pasar desapercibido por Gatekeeper.
El objetivo principal de JSCORERUNNER en este momento [após sua instalação] es secuestrar el navegador de usuarios. Específicamente, el malware se dirige a los perfiles de Google Chrome en macOS, viajando por la carpeta
~/Library/Application Support/Google/Chrome/Para identificar el perfil predeterminado y cualquier perfil adicional. El malware modifica las configuraciones del motor de búsqueda creando un nuevo objetoTemplateURLque define la URL de búsqueda, la nueva URL de pestaña y el nombre de la pantalla. Esto permite que el malware redirige a los usuarios a un motor de búsqueda fraudulento. Para evitar la detección y ocultar sus actividades, el malware también ofrece argumentos de Chrome para ocultar registros de bloqueo y el globo de «restaurar la última sesión».
Mosyle, vale la pena señalar, compartió el hash Jscoreurunner (publicado por 9to5mac) para que los gerentes de Mac puedan agregarlos a sus herramientas de seguridad. Los usuarios comunes, por otro lado, deben evitar sospechosos sitios de conversión de archivos y edición de PDF, que se convierte en objetivos cada vez más frecuentes de los cibercriminales.
