Google Ads utilizados para propagar malware de Mac disfrazado de ‘Loom’

Google Ads utilizados para propagar malware de Mac disfrazado de ‘Loom’

**Crazy Evil malware: La Amenaza para los Usuarios de macOS**

En días recientes, expertos descubrieron un malware stealer para macOS disfrazado como la popular aplicación de grabación de pantalla Loom, propagado a través de engañosas URL patrocinadas por Google.

**Un Descubrimiento Alarmante**

Moonlock Lab encontró un sofisticado malware stealer para macOS disfrazado como Loom, orquestado por el notorio grupo Crazy Evil. Utiliza URL patrocinadas por Google para engañar a los usuarios y hacer que descarguen software dañino.

**La Investigación**

La investigación comenzó cuando Moonlock Lab identificó un anuncio de Google promocionando la aplicación oficial de Loom. El anuncio parecía legítimo y animaba a los usuarios a hacer clic en una fuente de confianza.

Sin embargo, al hacer clic en el enlace, los usuarios eran redirigidos a un sitio casi idéntico al sitio web oficial de Loom, alojado en smokecoffeeshop[.]com. Se les pedía a los usuarios que descargaran lo que creían que era Loom, un archivo malicioso que contenía malware stealer.

**Una Campaña Maliciosa**

La campaña no se limitaba a Loom. Los atacantes también crearon versiones falsas de otras aplicaciones populares, incluyendo Figma, TunnelBlick (VPN), Callzy, y un archivo con un nombre sospechoso, BlackDesertPersonalContractforYouTubepartners[.]dmg.

**Un Clon Malicioso de LedgerLive**

Un aspecto de la campaña implica el uso de un stealer que reemplaza la legítima aplicación de LedgerLive con un clon malicioso. LedgerLive es ampliamente utilizado por personas que poseen criptomonedas, convirtiéndolo en un objetivo para los ciberdelincuentes.

Los atacantes pueden acceder y vaciar las billeteras de criptomonedas de las víctimas al reemplazar la aplicación genuina con una versión dañina. El clon malicioso imita la apariencia y funcionalidad de la aplicación legítima, lo que dificulta que los usuarios detecten la compromiso.

**Reclutamiento en la Darknet y Atribución**

Anuncios de reclutamiento en la Darknet publicados por Crazy Evil buscan individuos para unirse a un equipo que utiliza esta variante de malware stealer para macOS. Los anuncios detallan beneficios como protección confiable y explotación de diferentes formatos para diferentes víctimas.

Interesantemente, Moonlock Lab identificó una dirección IP vinculada a una entidad gubernamental con una alta asociación de malware y 93 archivos marcados como malware. La dirección IP alojaba archivos relacionados con macOS desde el inicio de la campaña el 23 de julio de 2024.

**Cómo los Usuarios de Mac pueden Mantenerse Seguros**

Los usuarios de Mac pueden protegerse tomando medidas proactivas. Siempre verifique las URL al descargar archivos, incluso de fuentes confiables como Google Ads o los principales resultados de búsqueda.

Escanee regularmente su dispositivo con herramientas anti-malware confiables como CleanMyMac X con Moonlock Engine para asegurarse de que no haya software malicioso presente. Mantenga el software actualizado para protegerse contra vulnerabilidades conocidas.

Por último, tenga cuidado con los correos electrónicos que ofrecen contratos o ofertas de remitentes desconocidos para evitar esquemas de phishing. Las características de seguridad incorporadas en Mac, Gatekeeper y XProtect, proporcionan protección adicional contra software malicioso y están activadas por defecto.

Con estas medidas, los usuarios de Mac pueden protegerse de amenazas como el malware stealer de Crazy Evil. ¡Manténgase seguro en línea!



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *