Un nuevo malware de robo de información llamado MacStealer tiene como objetivo a los usuarios de Mac, robando sus credenciales almacenadas en el llavero de iCloud y los navegadores web, carteras de criptomonedas y archivos potencialmente sensibles. MacStealer se distribuye como malware como servicio (MaaS), en el que el desarrollador vende versiones prediseñadas por 100 dólares, lo que permite a los compradores propagar el malware en sus campañas. |
Según el equipo de investigación de amenazas Uptycs que descubrió el nuevo malware para macOS, puede ejecutarse en macOS Catalina (10.15) y hasta la última versión del sistema operativo de Apple, Ventura (13.2).
Dirigido a usuarios de Mac
MacStealer fue descubierto por los analistas de Uptycs en un foro de hacking de la web oscura donde el desarrollador lleva promocionándolo desde principios de mes.
El vendedor afirma que el malware se encuentra todavía en una fase temprana de desarrollo beta y no ofrece paneles ni constructores. En su lugar, vende cargas útiles DMG preconstruidas que pueden infectar macOS Catalina, Big Sur, Monterey y Ventura.
Los atacantes utilizan la falta de constructores y paneles para justificar el bajo precio de 100 dólares del malware, pero prometen que pronto llegarán funciones más avanzadas.
El desarrollador del malware afirma que MacStealer puede robar los siguientes datos de los sistemas comprometidos:
- Contraseñas de cuentas, cookies y datos de tarjetas de crédito de Firefox, Chrome y Brave.
- Archivos TXT, DOC, DOCX, PDF, XLS, XLSX, PPT, PPTX, JPG, PNG, CSV, BMP, MP3, ZIP, RAR, PY y DB.
- Extraer la base de datos del llavero (login.keychain-db) en formato codificado base64
- Recopilar información del sistema
- Recopilar información de contraseñas del llavero
- Monederos de criptomonedas Coinomi, Exodus, MetaMask, Phantom, Tron, Martian Wallet, Trust Wallet, Keplr Wallet y Binance.
La base de datos Keychain es un sistema de almacenamiento seguro en macOS que guarda las contraseñas, claves privadas y certificados de los usuarios, cifrándolos con su contraseña de inicio de sesión. Esta función permite introducir automáticamente las credenciales de inicio de sesión en páginas web y aplicaciones.
Funcionalidad del malware
Los atacantes distribuyen MacStealer como un archivo DMG sin firmar que se hace pasar por algo que la víctima es engañada para ejecutar en su macOS.
Al hacerlo, se muestra a la víctima una solicitud de contraseña falsa para que ejecute un comando que permite al malware recopilar contraseñas de la máquina comprometida.
A continuación, el malware recopila todos los datos mencionados en la sección anterior, los almacena en un archivo ZIP y envía los datos robados a servidores remotos de mando y control para que el actor de la amenaza los recopile más tarde.
Al mismo tiempo, MacStealer envía cierta información básica a un canal de Telegram preconfigurado, lo que permite al operador recibir rápidamente una notificación cuando se roban nuevos datos y descargar el archivo ZIP.
Aunque la mayoría de las operaciones MaaS se dirigen a usuarios de Windows, macOS no es inmune a este tipo de amenazas, por lo que sus usuarios deben permanecer alerta y evitar descargar archivos de sitios web poco fiables.
El mes pasado, el investigador de seguridad iamdeadlyz también descubrió un nuevo malware para robar información de Mac distribuido en una campaña de phishing dirigida a jugadores del juego de blockchain "The Sandbox".
Ese ladrón de información también se dirigía a credenciales guardadas en navegadores y monederos de criptomonedas, como Exodus, Phantom, Atomic, Electrum y MetaMask.
Dado que las carteras de criptomonedas están en el punto de mira de los atacantes, es probable que veamos a más desarrolladores de malware apuntando a macOS en su búsqueda de carteras de criptomonedas para robar.