Este nuevo malware para macOS roba datos y contraseñas de iCloud
Un nuevo malware de robo de información llamado MacStealer está atacando a usuarios de Mac, robando sus credenciales almacenadas en iCloud KeyChain y navegadores web, billeteras de criptomonedas y archivos potencialmente confidenciales.
MacStealer estás siendo distribuido como malware como servicio (MaaS). Es decir, el desarrollador vende compilaciones prefabricadas por $100, lo que permite a los compradores propagar el malware en sus campañas.
Según el equipo de investigación de amenazas de Uptycs que descubrió el nuevo malware para macOS, este puede ejecutarse en macOS Catalina (10.15) y hasta la última versión del sistema operativo de Apple, Ventura (13.2).
Atacando a usuarios de Mac
MacStealer fue descubierto por los analistas de Uptycs en un foro de hacker en la dark web donde el desarrollador lo ha estado promocionando desde principios de mes.
El vendedor afirma que el malware aún se encuentra en una fase de desarrollo beta temprana y no ofrece paneles ni generadores. En cambio, vende payloads DMG preconstruidos que pueden infectar macOS Catalina, Big Sur, Monterey y Ventura.
El atacante usa la falta de un generador y un panel para justificar el bajo precio de $100 por el malware. No obstante, promete que pronto llegarán funciones más avanzadas.
El desarrollador de malware afirma que MacStealer puede robar los siguientes datos de los sistemas comprometidos:
- Contraseñas de cuentas, cookies y datos de tarjetas de crédito de Firefox, Chrome y Brave.
- Archivos TXT, DOC, DOCX, PDF, XLS, XLSX, PPT, PPTX, JPG, PNG, CSV, BMP, MP3, ZIP, RAR, PY y bases de datos
- Extraer la base de datos de Keychain (login.keychain-db) en forma codificada en base64
- Recopilar información del sistema
- Recopilar información de las contraseña de Keychain
- Obtener Información de billeteras de criptomonedas Coinomi, Exodus, MetaMask, Phantom, Tron, Martian Wallet, Trust wallet, Keplr Wallet y Binance
La base de datos Keychain es un sistema de almacenamiento seguro en macOS que contiene las contraseñas, las claves privadas y los certificados de los usuarios, y los cifra con su contraseña de inicio de sesión. Luego, la función puede ingresar automáticamente las credenciales de inicio de sesión en las páginas web y las aplicaciones.
Funcionalidad del malware
Los ciberdelincuentes están distribuyendo MacStealer como un archivo DMG sin firmar que se hace pasar por algo que engaña a la víctima para que lo ejecute en su macOS.
Al hacerlo, se envía a la víctima una solicitud de contraseña falsa para ejecutar un comando que permite que el malware recopile contraseñas de la máquina comprometida.
Luego, el malware recopila todos los datos mencionados en los párrafos anteriores, los almacena en un archivo ZIP y envía los datos robados a servidores remotos de comando y control para que el atacante los recopile más tarde.
Al mismo tiempo, MacStealer envía cierta información básica a un canal de Telegram preconfigurado. Esto permite que el operador sea notificado rápidamente cuando se roban nuevos datos y descargue el archivo ZIP.
Si bien la mayoría de las operaciones de MaaS se dirigen a los usuarios de Windows, macOS no es inmune a tales amenazas. Por lo tanto, sus usuarios deben permanecer atentos y deden evitar descargar archivos de sitios web no confiables.
El mes pasado, el investigador de seguridad iamdeadlyz también descubrió un nuevo malware para robar información de Mac. En ese caso, el malware estaba siendo distribuido en una campaña de phishing dirigida a los usuarios del juego de blockchain ‘The Sandbox’.
Ese ladrón de información también apuntó a las credenciales guardadas en navegadores y billeteras de criptomonedas, incluidos Exodus, Phantom, Atomic, Electrum y MetaMask.
Dado que las billeteras de criptomonedas son un objetivo muy importante para los ciberdelincuentes, es probable que veamos más desarrolladores de malware apuntando a macOS en su búsqueda de billeteras de criptomonedas para robar.