MADRID, 12 Feb. (Portaltic/EP) –
Un grupo de investigadores ha detectado un reciente ‘malware’ diseñado para afectar a los usuarios de computadoras MacOS, capaz de robar archivos a través de una puerta trasera que se disfraza como una actualización del programa de código de Microsoft Visual Studio.
Esto ha sido revelado por investigadores de la compañía de ciberseguridad Bitdefender, quienes aseguran que se trata de una nueva puerta trasera que forma parte de una familia de ‘malware’ que «no había sido documentada previamente» y que presenta una posible conexión con un grupo de ‘ransomware’ de Windows.
De acuerdo con un comunicado en su web, esta puerta trasera, denominada Trojan.MAC.RustDoor, apunta a los usuarios de MacOS y está escrita en Rust, un lenguaje de programación «relativamente nuevo» en el mundo del ‘malware’ que proporciona a los ciberdelincuentes ventajas para eludir la detección y análisis del ataque.
Específicamente, el ‘malware’ se utiliza para robar archivos o tipos de archivos específicos, y archivarlos y subirlos al centro de mando y control (C&C), para que los actores maliciosos puedan acceder a ellos.
Además, según los investigadores, se trata de una campaña que ha estado activa desde, al menos, noviembre del año pasado. La muestra más reciente de este ‘malware’ es de este mes, lo que sugiere que «ha estado operando sin ser descubierto durante al menos tres meses».
Por lo tanto, para propagarse, este ‘malware’ finge ser una actualización del programa Visual Studio de Microsoft. Es más, algunas muestras identificadas tienen nombres como ‘VisualStudioUpdater’, ‘VisualStudioUpdater_Patch’, ‘VisualStudioUpdating’ y ‘visualstudioupdate’. Sin embargo, también se han encontrado otras muestras de este ‘malware’ con el nombre ‘DO_NOT_RUN_ChromeUpdates’ o ‘zshrc2’.
Todos los archivos se muestran como FAT binarios, lo que significa que se pueden ejecutar en múltiples tipos de procesadores, es decir, para arquitecturas basadas en Intel (x86_64) y ARM (Apple Silicon).
Dentro de las diversas versiones identificadas en la campaña de este ‘malware’, se encuentran comandos como ‘shell’, ‘cd’, ‘sleep’, ‘upload’, ‘taskkill’ o ‘dialog’, con los que los ciberdelincuentes pueden recopilar y cargar archivos, y obtener información sobre el dispositivo infectado.
En particular, el comando ‘sysctl’ junto con los comandos ‘pwd’ y ‘hostname’ envía al punto final de registro del servidor de infraestructura de mando y control -es decir, servidores que controlan, centralizan información y realizan acciones necesarias- un archivo Victim ID, que luego se utiliza en «el resto de la comunicación entre C&C y la puerta trasera».
Los investigadores de Bitdefender han señalado que, por el momento, esta campaña de ‘malware’ no se puede atribuir a ningún actor de amenazas conocido. No obstante, han observado similitudes con el ‘ransomware’ ALPHV/BlackCat, que también utiliza el lenguaje de programación Rust y «dominios comunes», como los servidores de infraestructura de mando y control.
En efecto, han precisado que tres de los cuatro servidores de mando y control utilizados en este ‘malware’, se han asociado con campañas previas de ‘ransomware’ dirigidas a usuarios de Windows.
Fuente (para controlar el refrito): https://www.europapress.es/portaltic/ciberseguridad/noticia-identifican-nuevo-malware-macos-capaz-robar-archivos-haciendose-pasar-actualizacion-visual-studio-20240212121504.html
