En un nuevo reporte elaborado por especialistas en forense digital se afirma que los hackers que integran el peligroso grupo Lazarus están tratando de inyectar un nuevo troyano sin archivo en los dispositivos de las víctimas en miles de computadoras con sistema operativo Apple macOS; para concretar el ataque, los hackers estarían utilizando una aplicación falsa de intercambio de criptomoneda.

 

 

 

 

 

El descubrimiento fue reportado por Dinesh Devadoss el especialista, de la firma de investigación y seguridad K7 Computing; a su vez, Devadoss compartió su hallazgo al experto en seguridad Patrick Wardle, de Mac, quien afirma haber visto ataques similares anteriormente. Acorde a Wardle, el malware de 2018 identificado como Apple.Jeus también empleaba una app de criptomonedas para atraer entusiastas y robar activos virtuales.

Para hacer que estas aplicaciones parecieran más confiables, los hackers recurrían a un truco muy conocido: la creación de falsas compañías de software que usan certificados legítimos. En ambos casos, todo apunta a que los responsables pertenecen al peligroso grupo de hackers Lazarus, mencionan los expertos en forense digtial.

Wardle identificó a este nuevo troyano como OSX.AppleJeus.C, y asegura que sigue el mismo modo de operación que su antecesor a excepción de una nueva característica: la ejecución en la memoria de una carga útil sin archivos. Como su nombre lo sugiere, el malware sin archivos omite la escritura en el disco para evadir la detección de escáneres de firma, limitando su presencia a la memoria principal.

Una vez en la memoria, el malware trata de tomar el control de algunos procesos legítimos en el sistema objetivo, como Windows PowerShell y algunas herramientas de secuencias de comandos. En la más reciente campaña, los expertos en forense digital detectaron que la app de criptomoneda se encarga de iniciar la infección, tomando las llamadas API de Apple para crear una imagen de archivo de objeto de apariencia inofensiva que se escribe en el disco para generar persistencia.

A partir de entonces, el malware puede sobrevivir en la memoria principal, llamando a un servidor remoto para recibir cualquier carga útil enviada por los actores de amenazas.

Aunque parece un ataque realmente peligroso depende en gran medida de la interacción del usuario, pues para que la infección se complete el usuario aún debe ignorar al menos dos advertencias de macOS:

  • El instalador no está firmado
  • El instalador del malware requiere que el usuario ingrese una contraseña para obtener acceso raíz

Además se requiere que el usuario objetivo instale una aplicación sin firmar, lo cual es una pésima idea para cualquier usuario.

Acorde a los especialistas en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) existen múltiples herramientas de seguridad adicionales al sistema operativo macOS que ayudarán a cualquier usuario, ya sea que se trate de un entusiasta de los activos digitales, o que emplee sus dispositivos Apple para tareas más comunes.

 

Deja un comentario