Nueva versión de malware se hace pasar por una aplicación legítima para invadir Mac – MacMagazine
Investigadores de Moonlock Lab, el brazo de ciberseguridad de MacPawdescubrió una nueva versión de un software malicioso para macOS previamente conocido. Al igual que el Ladrón Atómico (AMOS), el Transferencia del Imperio es un troyano que se disfraza de una aplicación supuestamente legítima para robar datos de tu Mac, incluidas capacidades aún más avanzadas.
La nueva versión del malware fue descubierta en una aplicación registrada en VirusTotal [1, 2, 3] al buscar muestras. Esta plataforma se compone de alrededor de 70 programas antivirus, lo que le permite clasificar aplicaciones, archivos y URL como maliciosos. Lo utilizan tanto los profesionales para analizar amenazas como los crackers, que utilizan el servicio para comprobar si sus aplicaciones maliciosas pueden detectarse fácilmente.
Según Moonlock Lab, una aplicación llamada Transferencia Imperio 12.3.23.dmg apareció por primera vez en VirusTotal en diciembre de 2023; Se cree que la carga fue realizada por los creadores del malware. Lo más interesante es que, inicialmente, la aplicación pasó la verificación de la plataforma, pareciendo ser una aplicación legítima.
El software utilizaba el sello discográfico EMPIRE, vinculado a artistas como Kendrick Lamar Es Snoop Dogg. Esta estrategia de utilizar nombres genéricos o consonantes es común entre los malware; La idea es utilizar un nombre y un logotipo que sean fáciles de encontrar en una búsqueda en Google para confundir a los usuarios. Además del nombre y la marca, en la aplicación no se encontró nada más vinculado al sello discográfico.
Cómo funciona el malware
El archivo DMG de la aplicación maliciosa contiene otro archivo creado con PyInstaller. En su interior se encuentra un código creado en Python que es el núcleo del malware, creando más de diez procesos cuando se ejecuta. Este archivo, sin embargo, no fue detectado por VirusTotal, lo que demuestra el trabajo que hicieron sus creadores para disfrazar la actividad maliciosa del nuevo código.
La aplicación utiliza varias técnicas para realizar acciones, como iniciar AppleScript para que las personas revelen sus contraseñas. Además de apuntar a billeteras y administradores de contraseñas instalados, el malware busca extraer cookies, contactos y otros datos de Safari y Chrome.
Moonlock Lab cree que Empire Transfer comparte algunas características con Atomic Stealer, que se centró en las contraseñas en iCloud Keychain. Pese a esto, el malware más reciente trajo algunas variaciones que ampliaron sus capacidades, como incluir múltiples archivos en el disco de instalación, uno de los cuales venía incluido con PyInstaller.
Esta diversificación de métodos muestra la evolución y adaptación de los crackers para evitar que se detecten sus amenazas. El malware también emplea técnicas antivirtualización que pueden hacer que el código se borre cuando detecta un entorno que no es de Apple, como máquinas virtuales. Esta sofisticada estrategia tiene como objetivo evitar la detección de malware, añadiendo otra capa para hacerlo, además de impedir las investigaciones por parte de los investigadores.
Cómo protegerte
Como este tipo de malware se esconde en aplicaciones teóricamente legítimas, es importante tener cuidado al descargar aplicaciones que no sean de la Mac App Store, especialmente considerando la constante evolución de los crackers y el aumento de las amenazas. Es importante consultar los enlaces y sitios web donde se descargan las aplicaciones, así como sus desarrolladores.
Otras acciones importantes para protegerse son utilizar contraseñas con una gran cantidad de caracteres (incluidos los especiales) y activar la autenticación de dos factores, además de tener cuidado al otorgar permisos a aplicaciones en el Mac. Mantener su computadora actualizada también es fundamental para mantenerse seguro .
vía 9to5Mac