La variante del malware Cuckoo se hace pasar por Homebrew para infectar Mac – MacMagazine
Ya hemos hablado aquí de la Cucoun malware para Mac que engaña a los usuarios en el proceso de instalación de una determinada aplicación y luego roba datos del usuario fácilmente.
Ahora, un investigador llamado Alden ha descubierto un nuevo tipo de malware, al que llamó “Cuco y ladrón atómico”. A diferencia de la versión reportada anteriormente, ésta se disfraza de página falsa del cerveza caserafamoso administrador de paquetes para macOS.
Al igual que la página original, la página falsa, que se descubrió gracias a un archivo enviado al sitio web de VirusTotal, proporciona un comando que debe escribirse en la Terminal Mac, que se utiliza para instalar Homebrew.
El comando, obviamente, es diferente al oficial (aunque intenta disimularlo usando una URL real) y resulta en la instalación de malware en el ordenador del usuario, de forma no tan sospechosa y utilizando el nombre y la fama de legítimos. software como disfraz.
el personal de Intego fue más allá y descubrió que, tras la publicación del descubrimiento de Alden, el malware sufrió cambios en guión cuentagotas y en binario Mach-O. Este último, por ejemplo, ahora tiene la capacidad de detectar si se está ejecutando en una máquina virtual y modificar su comportamiento en esas ocasiones.
Comprobar el entorno de ejecución es una táctica utilizada por los crackers para dificultar a los investigadores el descubrimiento de la aplicación, que suelen utilizar máquinas virtuales en sus investigaciones para evitar contaminar su entorno de trabajo principal.
Al parecer, los estafadores detrás de esta variante de malware utilizan la misma táctica que la primera: anuncios pagados en la página de búsqueda de Google, a menudo disfrazados de páginas y empresas oficiales para engañar fácilmente a los usuarios desprevenidos.
Como estrategia de prevención, Intego recomienda acabar con la costumbre de simplemente buscar en Google sitios legítimos y hacer clic en el primer enlace, sin prestar atención a si la URL es correcta u otras pistas que puedan conducir a la descarga de malware.