Un nuevo malware ladrón ha sido descubierto por Kaspersky, el cual infecta a usuarios de Apple macOS a través de un software Crack. El malware es capaz de recopilar información del sistema y datos de la cartera de criptomonedas y está diseñado para atacar a máquinas que ejecutan macOS Ventura 13.6 o posterior, lo que incluye tanto arquitecturas de procesador Intel como Apple Silicon. Las cadenas de ataques hacen uso de imágenes de disco (DMG) con trampas, como el programa «Activador» y una versión pirata de software legítimo como xScope. Se insta a los usuarios que abren estos archivos a ejecutar el componente Activador y mover ambos archivos a la carpeta Aplicaciones. Sin embargo, al lanzar el Activador, se solicita la contraseña del administrador del sistema, lo que permite ejecutar un binario Mach-O con permisos elevados para lanzar el ejecutable modificado de xScope.
El siguiente paso es el establecimiento de contacto con un servidor de comando y control (C2) para obtener un guión cifrado. La URL C2 se construye combinando palabras de dos listas codificadas y agregando una secuencia aleatoria de cinco letras como nombre de dominio de tercer nivel. Esto permite enviar una solicitud de DNS para este dominio, recuperando tres registros TXT de DNS, cada uno de los cuales contiene un fragmento de cifrado Base64 que se descifra y ensambla para construir un script de Python. El script establece la persistencia y funciona como un descargador llegando a «apple-health[.]org» cada 30 segundos para descargar y ejecutar la carga útil principal.
El backdoor, activamente mantenido y actualizado por el actor de amenazas, está diseñado para ejecutar comandos, recopilar metadatos del sistema y verificar la presencia de billeteras Exodus y Bitcoin Core en el host infectado. Si se encuentran, las billeteras son reemplazadas por versiones troyanizadas descargadas desde el dominio «apple-analyser[.]com». Dichas versiones están equipadas para exfiltrar la frase de recuperación, la contraseña de desbloqueo de la billetera, el nombre y el saldo a un servidor controlado por el actor.
El software Crack se está convirtiendo en un medio cada vez más popular para comprometer a los usuarios de macOS con una variedad de malware, incluyendo el troyano Proxy y Zur. Esta tendencia resalta la importancia de utilizar aplicaciones legítimas, mantenerlas actualizadas y estar siempre pendiente de cualquier posible actividad sospechosa en los sistemas de los usuarios.
