Ataques de Info Stealer se dirigen a usuarios de macOS

Iniciado por AXCESS, Abril 02, 2024, 10:54:38 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Abril 02, 2024, 10:54:38 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de Jamf Threat Labs analizaron ataques de malware ladrón de información (Info Stealer o Stealer )dirigidos a usuarios de macOS a través de anuncios maliciosos y sitios web fraudulentos.

Uno de los ataques detectados por los investigadores se basó en anuncios patrocinados propuestos a los usuarios mientras buscaban "Arc Browser" en Google. El motor de búsqueda propuso un sitio malicioso aricl[.]net que imita el No tienes permitido ver los links. Registrarse o Entrar a mi cuenta legítimo.

Los usuarios de Reddit también describieron los anuncios maliciosos en una discusión. Los investigadores notaron que el sitio web malicioso sólo se puede visitar a través de un enlace patrocinado generado; de lo contrario, devuelve un error. Esta técnica permite evadir la detección.

El sitio malicioso incluye un enlace para descargar Arc para macOS. En ocasiones, el enlace patrocinado también nos dirigiría a un sitio web malicioso idéntico (airci[.]net).

El archivo de imagen de disco (DMG) descargado del sitio está firmado ad hoc y proporciona instrucciones para hacer clic derecho en la aplicación y seleccionar abrir, anulando así cualquier advertencia de Gatekeeper.

"Al igual que las variantes anteriores de Atomic Stealer, contiene cadenas mínimas ya que la mayoría de ellas están codificadas con xor para evitar la detección, que es una técnica común para evadir firmas estáticas".

"Esta variante del ladrón atómico llamará a una función llamada bewta(), que descomprime varios bytes con la clave xor codificada 0x91".

Jamf también detectó otro ataque que utilizó un sitio web malicioso llamado meethub[.]gg que afirma ofrecer software para llamadas de reuniones virtuales.

El estafador envió mensajes directos a las víctimas, que se hicieron pasar por personas inofensivas con la esperanza de programar una reunión. En un caso, para discutir la grabación de un podcast con la víctima y en el otro, para discutir una oportunidad laboral. Los atacantes ordenaron a las víctimas que utilizaran Meethub como software de reunión virtual para la llamada.

En este caso, el malware servido a las víctimas permite a los estafadores robar credenciales de inicio de sesión del navegador, capturar detalles de tarjetas de crédito y robar datos de una lista de billeteras criptográficas instaladas, incluidas Ledger y Trezor.

"Aunque no se ha confirmado que esté directamente relacionado, existen una serie de similitudes interesantes entre este ladrón y el ladrón originalmente documentado como ladrón de Realst". continúa el informe.

"Ambos comparten un puñado de características, como el lenguaje elegido Rust para el ejecutable principal, el uso de chainbreaker y el hecho de que el hash chainbreaker machO se puede ver dentro de varios paquetes similares a videojuegos, un enfoque utilizado por Realst: que se cargaron en VirusTotal y se identificaron como maliciosos".

El informe publicado por los investigadores detalla dos de los numerosos ataques de robo de información contra usuarios de macOS durante el último año. La mayoría de los ataques se dirigen principalmente a personas involucradas en la industria de las criptomonedas, lo que promete ganancias sustanciales para los perpetradores.

Fuente:
SecurityAffairs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario