2 min de lectura

Nuevo malware para macOS elude a Gatekeeper

Jamf afirma que un infostealer notarizado para macOS llamado CrashStealer imita las herramientas de informes de fallos de Apple y roba datos del Keychain, del navegador, de monederos y contraseñas.

Imagen: TechRadar

Un infostealer para macOS detectado recientemente se está haciendo pasar por una herramienta de informes de fallos de Apple mientras elude a Gatekeeper, según investigadores de Jamf.

El malware, denominado CrashStealer, está escrito en C++ y está diseñado para robar credenciales de acceso, datos del Keychain y información vinculada a más de 80 monederos de criptomonedas. Jamf dijo que probablemente se distribuye a través de un sitio falso de software llamado "Werkbit Setup", que fue registrado hace poco.

Según los informes, las víctimas acceden al sitio a través de recomendaciones en redes sociales o resultados de motores de búsqueda. Antes de descargar, deben introducir un código PIN —un paso que Jamf cree que ayuda a los operadores a evitar el escrutinio de los investigadores, al tiempo que hace que la oferta parezca más creíble y exclusiva.

La preocupación mayor es cómo el malware llega a los sistemas. Jamf dijo que la carga útil llega como un instalador firmado y notarizado por Apple, empaquetado en una imagen de disco llamada "Werkbit Setup", lo que le permite eludir a Gatekeeper sin activar las advertencias que normalmente se muestran para aplicaciones de terceros.

Recomendado

Errores en extensiones de Joomla entran en la lista de vulnerabilidades explotadas de CISA

Una vez lanzado, el instalador deja un binario llamado CrashReporter.app y crea un LaunchAgent llamado com.apple.crashreporter.helper. A los usuarios se les muestra entonces un aviso falso de contraseña de macOS. Si cumplen, el malware puede desbloquear el Keychain del usuario y exfiltrar secretos almacenados, incluidas contraseñas y claves criptográficas privadas, a un servidor de terceros.

Jamf dijo que el malware también recopila:

  • Credenciales y cookies de la mayoría de los navegadores
  • Datos de 80 extensiones de monederos de criptomonedas
  • Información de 14 gestores de contraseñas
  • Archivos almacenados localmente

Según Jamf, CrashStealer comparte ciertas similitudes con otros infostealers conocidos como AMOS, pero destaca por su mecanismo de cifrado del lado del cliente y su implementación nativa en C++.

Encabezado del mejor software antivirus
Encabezado del mejor software antivirus
Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía TechRadar

// Sigue leyendo