17 de septiembre de 2023

Nueva variedad de malware que roba datos empresariales de equipos Mac con procesadores Intel.

Un malware llamado «MetaStealer» está siendo utilizado por hackers para atacar empresas y robar datos de Macs basados en Intel, utilizando técnicas que incluyen hacerse pasar por instaladores legítimos de aplicaciones. Los ataques de malware contra macOS continúan siendo un problema, siendo la principal razón de éxito de los ataques la persuasión de los usuarios para que abran ejecutables. En un informe que detalla una familia de «infostealers» de macOS llamada «MetaStealer», investigadores de seguridad explican cómo funciona engañando a los usuarios para que abran imágenes de disco. Según Phil Stokes de SentinelOne, los atacantes de MetaStealer están dirigiendo sus ataques a empresas que utilizan sistemas macOS. Al hacerse pasar por clientes falsos, las víctimas son manipuladas para que ejecuten las cargas maliciosas en sus Mac. Muchas muestras enviadas a SentinelOne revelan que el archivo de imagen de disco que contiene la carga a menudo tenía nombres que podrían ser de interés para los usuarios empresariales. Esto va desde nombres para presentaciones, un «Menú completo del Concepto A3 con platos y traducciones al inglés» y «Contrato de pago y acuerdo de confidencialidad Lucasprod» [sic], hasta los nombres de los instaladores de productos de Adobe como Photoshop. Se cree que dirigirse directamente a los usuarios empresariales es un movimiento inusual por parte de los usuarios de malware, ya que generalmente se distribuye de manera masiva, como en torrents falsos. El esfuerzo por lograr una instalación también se dificulta para los hackers de varias maneras. Dado que la imagen de disco contiene el contenido mínimo necesario para existir más allá de la carga, el archivo tampoco suele incluir una cadena de identificación de desarrollador de Apple, ni utiliza firmas de código en absoluto ni firmas ad-hoc. Esto crea obstáculos adicionales, como convencer de alguna manera a la víctima potencial de que anule Gatekeeper y OCSP. Todas las muestras recopiladas son binarios Intel x86_64 de arquitectura única, por lo que si bien se pueden usar en Macs Intel directamente, necesitarían usar Rosetta para ejecutarse en Macs con Apple Silicon. Si bien los usuarios deben ser vigilantes y tener precaución al abrir archivos cuestionables enviados por otros o descargados de fuentes no oficiales, Apple ya ha implementado algunas medidas de protección. Como parte de la actualización XProtect x2170, Apple incluye una firma de detección que afecta a algunas versiones de MetaStealer. SentinelOne también ha publicado una lista de Indicadores de Compromiso, destinada a ser utilizada por los equipos de TI y seguridad que trabajan en empresas, que se muestra a continuación. Indicadores de Compromiso MetaStealer Droppers AdobeOfficialBriefDescription.dmg 00b92534af61a61923210bfc688c1b2a4fecb1bb Adobe Photoshop 2023 (con IA) installer.dmg 51e8eaf98b77105b448f4a0649d8f7c98ac8fc66 Términos publicitarios de referencia (presentación de macOS).dmg 4da5241119bf64d9a7ffc2710b3607817c8df2f AnimatedPoster.dmg c2cd344fbcd2d356ab8231d4c0a994df20760e3e CardGame.dmg 5ba3181df053e35011e9ebcc5330034e9e895bfe Conract for paymen & confidentiality agreement Lucasprod.dmg dec16514cd256613128b93d340467117faca1534 FreyaVR 1.6.102.dmg d3fd59bd92ac03bccc11919d25d6bbfc85b440d3 Matrix.dmg 3033c05eec7c7b98d175df2badd3378e5233b5a2 OfficialBriefDescription.app.zip 345d6077bfb9c55e3d89b32c16e409c508626986 P7yersOfficialBriefDescription 1.0.dmg 35bfdb4ad20908ac85d00dcd7389a820f460db51 PDF.app.zip aa40f3f71039096830f2931ac5df2724b2c628ab TradingView.dmg e49c078b3c3f696d004f1a85d731cb9ef8c662f1 YoungClass brief presentation Mac 20OS.zip 3161e6c88a4da5e09193b7aac9aa211a032526b9 YoungSUG (Referencias de portada, tareas, logotipos, resumen)\\YoungSUG_Official_Brief_Description_LucasProd.dmg 61c3f2f3a7521920ce2db9c9de31d7ce1df9dd44 Comunicaciones de red – IPs 13[.]114.196[.]60 13[.]125.88[.]10 Comunicaciones de red – Dominios api.osx-mac[.]com builder.osx-mac[.]com db.osx-mac[.]com ID de desarrollador Bourigaultn Nathan (U5F3ZXR58U) Binarios Mach-O – Intel x86_64 0edd4b81fa931604040d4c13f9571e01618a4c9c 13249e30a9918168e79cdb0f097e4b34fbbd891f 13bcebdb4721746671e0cbffbeed1d6d92a0cf6c 1424f9245a3325c513a09231168d548337ffd698 148bc97ff873276666e0c114d22011ec042fb9b9 15c377eb5a69f93fa833e845d793691a623f928c 166ff1cd47a45e47721bb497b83cc84d8269b308 1b3ce71fa42f4c0c16af1b8436fa43ac57d74ce9 1cc66e194401f2164ff1cbc8c07121475a570d9f 1df31db0f3e5c381ad73488b4b5ac5552326baac 1df8ff1fe464a0d9baaeead3c7158563a60199d4 1e5319969d6a53efc0ec1345414c62c810f95fce 291011119bc2a777b33cc2b8de3d1509ed31b3da 2c567a37c49af5bce4a236be5e060c33835132cf 33a5043f8894a8525eeb2ba5d80aef80b2a85be8 34c7977e20acc8e64139087bd16f0b0a881b044f 3589dd0d01527ca4e8a2ec55159649083b0c50a8 35c3b735949151aae28ebf16d24fb32c8bcd7e6b 35e14d8375f625b04be43019ccb8be57656b15cf 394501f410bd9cb4f4432a32b17348cdde3d4157 47620d2242dfaf14b7766562e812b7778a342a48 57c2302c30955527293ed90bfaf627a4132386fb 65de53298958b4f137c4bd64f31f550dd2199c