Identifican un nuevo ‘malware’ en MacOS capaz de robar archivos haciéndose pasar por una actualización de Visual Studio
Un grupo de investigadores ha identificado un nuevo ‘malware’ dirigido a los usuarios con ordenadores MacOS, capaz de robar archivos mediante una puerta trasera que se distribuye haciéndose pasar por una actualización del programa de código de Microsoft Visual Studio.
Así lo ha detallado un grupo de investigadores de la compañía de ciberseguridad Bitdefender, que aseguran que se trata de una nueva puerta trasera que pertenece a una familia de ‘malware’ que “no había sido documentada anteriormente” y que muestra un posible vínculo con un grupo de ‘ransomware’ de Windows.
En este marco, según han detallado en un comunicado en su web, esta puerta trasera, a la que se refieren como Trojan.MAC.RustDoor, está dirigida a los usuarios de MacOS y escrita en Rust, un lenguaje de programación “relativamente nuevo” en el ecosistema de ‘malware’ que ofrece a los ciberdelincuentes ventajas a la hora de evadir la detección y análisis del ataque.
Concretamente, tal y como han podido comprobar, el ‘malware’ puede utilizarse para robar archivos o tipos de archivos específicos, así como para archivarlos y subirlos al centro de mando y control (C&C), de manera que los actores maliciosos puedan acceder a ellos.
Además, según los investigadores, se trata de una campaña que lleva activa desde, por lo menos, noviembre del pasado año. La última muestra del ‘malware’ encontrada tiene fecha del día 2 de este mes, lo que indica que “ha estado funcionando sin ser detectado durante al menos tres meses”.
Así, para distribuirse, este ‘malware’ suplanta una actualización del programa Visual Studio de Microsoft. De hecho, algunas muestras identificadas disponen de nombres como ‘VisualStudioUpdater’, ‘VisualStudioUpdater_Patch’, ‘VisualStudioUpdating’ y ‘visualstudioupdate’. Sin embargo, también se han encontrado otras muestras de este ‘malware’ con el nombre ‘DO_NOT_RUN_ChromeUpdates’ o ‘zshrc2’.
Igualmente, todos los archivos se muestran como FAT binarios, es decir, que se pueden ejecutar en múltiples tipos de procesadores, en este caso, para arquitecturas basadas en Intel (x86_64) y ARM (Apple Silicon).
Dentro de las distintas versiones que los investigadores han ido identificando en la campaña de este ‘malware’, se han encontrado comandos como ‘shell’, ‘cd’, ‘sleep’, ‘upload’, ‘taskkill’ o ‘dialog’, con los que los ciberdelincuentes pueden recopilar y cargar archivos, así como obtener información sobre el propio dispositivo en el que se está llevando a cabo.
Tal y como han explicado, en concreto, el comando ‘sysctl’ junto con los comandos ‘pwd’ y ‘hostname’ envían al punto final de registro del servidor de infraestructura de mando y control -esto es, servidores que controlan la información, la centralizan y realizan las acciones necesarias- un archivo Victim ID, que, posteriormente, se utiliza en “el resto de la comunicación entre C&C y la puerta trasera”.
Con todo ello, desde Bitdefender han señalado que, por el momento, esta campaña de ‘malware’ no se puede atribuir a ningún actor de amenazas conocido. Sin embargo, han observado similitudes con el ‘ransomware’ ALPHV/BlackCat, que también utiliza el lenguaje de programación Rust y “dominios comunes”, como los servidores de infraestructura de mando y control.
De hecho, han puntualizado que tres de los cuatro servidores de mando y control utilizados en este ‘malware’, se han asociado con campañas previas de ‘ransomware’ dirigidas a clientes de Windows.