Los investigadores de Kaspersky han descubierto una cepa poco convencional de malware para macOS. Esta familia de software malicioso, previamente desconocida, se distribuye discretamente a través de aplicaciones pirateadas y tiene como objetivo las criptomonedas de los usuarios de macOS almacenadas en billeteras digitales.
Este criptotroyano es único por dos motivos: primero, utiliza registros DNS para lanzar su script Python malicioso. En segundo lugar, no sólo roba los monederos digitales, también reemplaza la aplicación de la billetera con una versión infectada. Esto le permite robar la frase secreta que se utiliza para acceder a las criptomonedas almacenadas en las billeteras.
El malware se dirige a las versiones 13.6 y superiores de macOS, lo que indica un enfoque en los usuarios de sistemas operativos más nuevos, tanto con procesadores Intel como Apple Silicon. Las imágenes de disco comprometidas contienen un "activador" y la aplicación blanco. El activador, aparentemente benigno a primera vista, activa la aplicación comprometida después de ingresar la contraseña del usuario.
Los atacantes utilizan versiones pre-comprometidas de la aplicación, manipulando los archivos ejecutables para hacerlos inoperables hasta que el usuario ejecute el activador. Esta táctica garantiza que el usuario active la aplicación comprometida sin saberlo.
Una vez activado, el malware obtiene registros DNS TXT para un dominio malicioso y descifra un script de Python del mismo. El script se ejecuta interminablemente intentando descargar la próxima etapa de la cadena de infección, que también es un script de Python.
El propósito de la siguiente carga es ejecutar comandos arbitrarios recibidos del servidor. Si bien no se recibió ningún ataque durante la investigación y la puerta trasera se actualizaba periódicamente, es evidente que la campaña de malware aún está en desarrollo. El código sugiere que los comandos probablemente sean scripts de Python codificados.
Además de las funcionalidades mencionadas, el script contiene dos características notables relacionadas con el dominio apple-analyzer[.]com. Ambas funciones tienen como objetivo verificar la presencia de aplicaciones de criptobilleteras y reemplazarlas con versiones maliciosas descargadas del dominio especificado. Esta táctica se observó apuntando tanto a las billeteras Bitcoin como Exodus.
“El malware macOS vinculado al software pirateado pone en relieve los graves riesgos. Los ciberdelincuentes utilizan aplicaciones pirateadas para acceder fácilmente a las computadoras de los usuarios y obtener privilegios de administrador pidiéndoles que ingresen su contraseña. Los creadores muestran una creatividad inusual al ocultar un script de Python en el registro de un servidor DNS, aumentando el nivel de sigilo del malware en el tráfico de la red. Los usuarios deben tener mucho cuidado, especialmente con sus carteras de criptomonedas. Evite realizar descargas desde sitios sospechosos y utilice soluciones de ciberseguridad confiables para una mejor protección”, comenta Sergey Puzan, investigador de seguridad en Kaspersky.
Para mantenerse a salvo de los troyanos y proteger las criptomonedas, Kaspersky recomienda:
El informe completo sobre el troyano criptográfico y la puerta trasera para macOS, esta disponible para su descarga aquí.