2 min de lectura

macOS ClickFix oculta una puerta trasera en comandos copiados en Terminal

Un informe de Netskope detalla una campaña de macOS ClickFix que roba datos, reemplaza aplicaciones de billeteras de criptomonedas e instala un troyano de acceso remoto persistente.

Imagen: 9to5Mac

Una campaña de macOS ClickFix recientemente detallada está usando ingeniería social, no exploits, para comprometer Macs. Según un informe de Netskope Threat Labs citado por 9to5Mac, el ataque convence a los usuarios para que peguen un comando en Terminal, desplegando un robador de información basado en AppleScript y un troyano de acceso remoto persistente.

La infección comienza en sitios comprometidos o controlados por los atacantes que se hacen pasar por servicios legítimos. Netskope dijo que encontró páginas falsas de utilidades de optimización para macOS, repositorios falsos en GitHub y páginas de soporte técnico localizadas. Cuando la víctima hace clic en un botón para copiar, JavaScript malicioso coloca el comando en el portapapeles. Una vez ejecutado en Terminal, recupera un script que se ejecuta completamente en memoria, dejando poco en disco para que los escaneos estándar de malware lo detecten.

La carga útil de segunda etapa muestra entonces un aviso falso de Preferencias del Sistema de Mac pidiendo la contraseña de inicio de sesión de macOS del usuario. Si se introduce, el malware la usa para desbloquear el llavero de macOS y extraer contraseñas guardadas, cookies de sesión y datos de aplicaciones de mensajería.

Recomendado

Rostec presenta Spider, escudo antidrón para instalaciones de combustible

También apunta al software de criptomonedas. Según 9to5Mac, el malware tiene como objetivo 25 billeteras de escritorio diferentes, termina la aplicación legítima, reemplaza el paquete principal de la aplicación por una versión troyanizada y aplica una firma de código ad hoc para que la aplicación alterada pueda seguir iniciándose sin activar las advertencias de Gatekeeper.

Para persistencia, la carga instala un archivo de configuración en segundo plano disfrazado como un proceso de cuenta del sistema Apple llamado com.apple.accountsd. Netskope dijo que ese proceso se comunica con un servidor de comando y control cada minuto, proporcionando a los atacantes una señal periódica y la capacidad de ejecutar código arbitrario de forma remota.

9to5Mac sostiene que la campaña demuestra lo efectivas que pueden ser las herramientas nativas de macOS en manos de los atacantes, incluso sin una vulnerabilidad zero-day ni un exploit de kernel. Para los equipos de TI empresariales, la conclusión práctica es simple: formar a los usuarios para que nunca peguen comandos desconocidos en Terminal y considerar restringir el acceso a Terminal en Macs gestionados cuando no sea necesario.

Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía 9to5Mac

// Sigue leyendo