Una campaña de ingeniería social muy popular que antes solo apuntaba a sistemas Windows se ha expandido y ahora utiliza actualizaciones falsas del navegador para distribuir Atomic Stealer, un peligroso ladrón de información, a sistemas macOS.
Los expertos dicen que esta podría ser la primera vez que observan que una estafa de ingeniería social dominante que anteriormente estaba dirigida específicamente a Windows cambia a macOS.
El malware, también conocido como AMOS, apareció a principios de este año en un canal dedicado de Telegram. Los delincuentes, que pueden alquilar el malware mediante suscripción por unos 1,000 dólares al mes, han utilizado diversos medios para distribuir el malware desde entonces. La táctica más común ha sido distribuir el malware a través de instaladores de aplicaciones populares o mediante versiones supuestamente descifradas de Microsoft Office y otras aplicaciones ampliamente utilizadas.
Campaña clara y falsa
Esta semana, investigadores de Malwarebytes informó observar un actor de amenazas que distribuye Atomic Stealer a través de cientos de sitios web comprometidos que ofrecen actualizaciones falsas para los navegadores Chrome y Safari. Otro investigador de seguridad, Randy McEoin, primero manchado los sitios web comprometidos en agosto y denominó al malware que genera las actualizaciones falsas del navegador como "ClearFake".
En ese momento, McEoin describió a ClearFake como un malware que inicialmente carga una página normalmente cuando un usuario visita un sitio web comprometido, pero luego la reemplaza con una página que solicita al usuario que actualice su navegador. Los usuarios de Mac que responden al mensaje terminan descargando Atomic Stealer en sus sistemas, señaló el investigador de seguridad.
"Esta puede muy bien ser la primera vez que vemos una de las principales campañas de ingeniería social, anteriormente reservada para Windows, expandirse no sólo en términos de geolocalización sino también de sistema operativo", dijo el investigador de Malwarebytes Jerome Segura en un blog esta semana.
Según Segura, la plantilla de Safari que ofrece un sitio web comprometido con ClearFake es idéntica a la del sitio web oficial de Apple y está disponible en varios idiomas. También existe una plantilla para usuarios de Google Chrome para Mac que es muy similar a la utilizada para usuarios de Windows, dijo Segura.
La carga útil para los usuarios de Mac es un archivo de imagen de disco (DMG) que se hace pasar por una actualización del navegador con instrucciones para los usuarios sobre cómo abrirlo. Si se abre, el archivo solicita inmediatamente la contraseña de administrador y luego ejecuta comandos para robar datos del sistema. Los investigadores de Malwarebytes observaron comandos para robar contraseñas y capturar diferentes archivos de un sistema comprometido y enviarlos a un servidor remoto de comando y control.
'Aplastar y agarrar con un solo golpe'
centinela uno, que está rastreando el malware, ha descrito a Atomic Stealer como capaz de robar contraseñas de cuentas, datos del navegador, cookies de sesión y carteras de criptomonedas. El proveedor de seguridad informó haber visto hasta 300 suscriptores de Atomic Stealer en el canal Telegram del autor en mayo de 2023. Su análisis del malware mostró que había al menos dos versiones de Atomic Stealer, una de las cuales estaba oculta en un instalador de juegos. SentinelOne encontró esa versión del malware aparentemente diseñada específicamente para robar información de jugadores y usuarios de criptomonedas.
Un comportamiento de Atomic Stealer que SentinelOne destacó en su informe fue la falta de intento por parte del malware de ganar persistencia en una máquina comprometida. En cambio, el malware parecía depender de lo que SentinelOne describió como una “metodología de un solo golpe para aplastar y agarrar” mediante la suplantación de AppleScript.
"Las actualizaciones falsas del navegador han sido un tema común para los usuarios de Windows durante años", señaló Segura. Sin embargo, hasta la campaña ClearFake, los actores de amenazas no habían utilizado el vector para distribuir malware para macOS. "La popularidad de ladrones como AMOS hace que sea bastante fácil adaptar la carga útil a diferentes víctimas, con pequeños ajustes", dijo.
El nuevo malware y la campaña son sólo la última manifestación de lo que algunos han informado como un mayor interés de los actores de amenazas en los sistemas macOS. En agosto, Accenture informó de un Aumento del 1,000% en actores de amenazas dirigidos al sistema operativo desde 2019. Entre ellos se encontraba un atacante que ofreció hasta $ 1 millón por un exploit funcional para macOS, descubrió Accenture. “Es motivo de gran preocupación aparición de actores establecidos con reputaciones positivas y grandes presupuestos que buscan exploits y otros métodos que les permitan eludir las funciones de seguridad de macOS”, dijo Accenture.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/attacks-breaches/threat-actor-using-fake-browser-updates-to-distribute-mac-infostealer
