9to5Mac Security Bite es presentado exclusivamente por Mosyle, la única Plataforma Unificada de Apple. Todo lo que hacemos es hacer que los dispositivos Apple estén listos para trabajar y sean seguros para la empresa. Nuestro exclusivo enfoque integrado de gestión y seguridad combina soluciones de seguridad de última generación específicas de Apple para endurecimiento y cumplimiento totalmente automatizados, EDR de próxima generación, confianza cero impulsada por IA y gestión de privilegios exclusiva con el MDM de Apple más potente y moderno. en el mercado. El resultado es una Plataforma Unificada Apple totalmente automatizada, en la que actualmente confían más de 45.000 organizaciones para que millones de dispositivos Apple estén listos para funcionar sin esfuerzo y a un costo asequible. Solicita tu PRUEBA EXTENDIDA hoy y comprende por qué Mosyle es todo lo que necesitas para trabajar con Apple.
Investigadores de seguridad han identificado un intento de piratas informáticos patrocinados por el Estado de Corea del Norte (RPDC) de atacar a los usuarios de Mac con malware de robo de información a través de una aplicación de reuniones troyanizada.
Una vez infectado, el malware establecería una conexión entre la Mac y el servidor de comando y control (C2) del atacante para filtrar datos confidenciales como las credenciales del llavero iCloud. También se descubrió que instalaba silenciosamente la aplicación de escritorio remoto AnyDesk y el software de registro de teclas en segundo plano para controlar las máquinas y recopilar las pulsaciones de teclas.
MalwareHunterTeam informó por primera vez sobre el malware, una nueva variante de una cepa conocida denominada “BeaverTail”, a través de una publicación en X. Si bien BeaverTail era un ladrón de información de JavaScript existente descubierto en 2023, ahora parece haber sido reelaborado para apuntar a usuarios de Mac con una imagen de disco maliciosa titulada “MicroTalk.dmg”.
El investigador de seguridad y autor Patrick Wardle analizó el malware en una publicación de blog bastante completa y con un título divertido en Objective-See. Wardle descubrió que los piratas informáticos probablemente se hacían pasar por reclutadores de empleo, engañando a las víctimas para que descargaran lo que parecía ser la plataforma legítima de videoconferencia MiroTalk, insinúa el nombre del archivo de imagen de disco “MicroTalk.dmg”, pero en realidad era un clon que contenía malware oculto.
Acerca de Mordida de seguridad: Security Bite es una columna semanal centrada en la seguridad en 9to5Mac. Cada semana,Arin Waichulis ofrece información sobre la privacidad de los datos, descubre vulnerabilidades y arroja luz sobre las amenazas emergentes dentro del vasto ecosistema de Apple de más de 2 mil millones de dispositivos activos..
Este no sería el primer informe de piratas informáticos norcoreanos que se hacen pasar por reclutadores de empleo para atacar a las víctimas. El infame grupo de investigación Unit42 de Palo Alto Network informó recientemente sobre una historia similar titulada: “Hackear a los empleadores y buscar empleo: dos campañas relacionadas con el trabajo llevan el sello de los actores de amenazas norcoreanos”.
Según el análisis de Wardle, el clon malicioso de MicroTalk que contiene el malware no está firmado o no ha sido registrado en Apple por un desarrollador identificado, por lo que macOS Gatekeeper impedirá que la aplicación se ejecute. Sin embargo, los usuarios pueden eludir el bloqueo haciendo clic derecho y presionando “Abrir” en el menú contextual.
Gatekeeper es un dolor de cabeza habitual para los ciberdelincuentes que se dirigen a los usuarios de Mac. De hecho, se ha convertido en una molestia tan eficaz que, en algunos casos, indican al usuario que abra la aplicación maliciosa de la manera “correcta” (también conocida como hacer clic derecho y presionar “Abrir”) en lugar de hacer doble clic.
Una vez infectado, el malware se comunica con los servidores C2 para descargar y extraer datos, incluidas las credenciales de iCould KeyChain y los ID de extensión del navegador de carteras de criptomonedas populares, que pueden usarse para robar claves privadas y frases mnemotécnicas. Lo más difícil de alcanzar, sin embargo, es que cuando se descubrió el malware la semana pasada, pudo pasar por escáneres antivirus, como VirusTotal, sin ser detectado. Los ciberdelincuentes cargarán sus ejecutables en plataformas como VirusTotal para asegurarse de que los aspectos maliciosos estén lo suficientemente ocultos como para no ser detectados por los escáneres populares. La desventaja es que los “buenos” también pueden verlos.
“Específicamente en la salida del símbolo, vemos los nombres de los métodos (fileUpload
, pDownFinished
, run
) que revelan probables capacidades de exfiltración y descarga y ejecución”, según la publicación del blog de Objective-See.
“Y a partir de cadenas incrustadas vemos tanto la dirección del probable servidor de comando y control, 95.164.17.24:1224
y también pistas sobre el tipo de información que el malware recopila para su filtración. Específicamente, ID de extensión del navegador de billeteras de criptomonedas populares, rutas a los datos de los navegadores de los usuarios y el llavero de macOS. Otras cadenas están relacionadas con la descarga y ejecución de cargas útiles adicionales que aparecen en scripts de Python maliciosos”.
Al final del día, no me sorprendería que este fuera el trabajo de BlueNoroff, un subgrupo de la conocida empresa de cibercrimen del estado-nación, Lazarus Group. Ha habido varios casos distintivos en los que BlueNoroff a menudo se acerca a víctimas potenciales bajo el disfraz de un inversionista o un cazador de cabezas de empresa. Si parece un pato, nada como un pato y grazna como un pato, entonces probablemente sea un pato.