La nueva familia de software malicioso se distribuye a través de apps pirateadas que facilitan el robo de frases secretas de las billeteras digitales, reportan.

Investigadores de Kaspersky descubrieron una variante poco convencional de malware para macOS. Esta familia de software malicioso, “desconocida hasta ahora”, según esta compañía, se distribuye discretamente a través de aplicaciones pirateadas y tiene en la mira a las criptomonedas de los usuarios de macOS almacenadas en billeteras digitales.

Este cripto-troyano es único en dos sentidos: primero, utiliza registros DNS para lanzar su script Python malicioso. En segundo lugar, no sólo roba los monederos digitales, sino que además reemplaza la aplicación de la cartera con una versión infectada. Esto le permite robar la frase secreta de acceso a las criptomonedas almacenadas en las billeteras.

El malware se dirige a las versiones 13.6 y superiores de macOS, lo que indica un enfoque en los usuarios de sistemas operativos más nuevos, tanto con procesadores Intel como Apple Silicon. Las imágenes de disco comprometidas contienen un “activador” y la aplicación blanca. El activador, aparentemente benigno a primera vista, activa la aplicación comprometida después de ingresar la contraseña del usuario.

Los atacantes utilizan versiones pre-comprometidas de la aplicación, manipulando los archivos ejecutables para hacerlos inoperables hasta que el usuario ejecute el activador. Esta táctica garantiza que el usuario active la aplicación comprometida sin saberlo.

Una vez activado, el malware ejecuta su carga útil principal obteniendo registros DNS TXT para un dominio malicioso y descifrando un script de Python de éste. El script se ejecuta interminablemente intentando descargar la próxima etapa de la cadena de infección, que también es un script de Python. El propósito de la siguiente carga es ejecutar comandos arbitrarios recibidos del servidor.

De acuerdo con reportes de Kaspersky, aunque no se recibió ningún comando durante la investigación y la puerta trasera se actualizaba periódicamente, es evidente que la campaña de malware aún está en desarrollo. El código sugiere que los comandos probablemente sean scripts de Python codificados.

Además de las funcionalidades mencionadas, el script contiene dos características notables relacionadas con el dominio apple-analyzer[.]com. Ambas funciones tienen como objetivo verificar la presencia de aplicaciones de criptobilleteras y reemplazarlas con versiones maliciosas descargadas del dominio especificado. Esta táctica se observó apuntando tanto a las billeteras Bitcoin como Exodus.

Algunas recomendaciones

• Descargar aplicaciones sólo desde tiendas oficiales, como la Apple App Store. Las aplicaciones de estos mercados no son 100% seguras, pero al menos son revisadas por los representantes de las tiendas, lo que indica algún sistema de filtración, ya que no todas las apps pueden ingresar.
• Instalar una solución de seguridad confiable y seguir sus recomendaciones. Estas soluciones resolverán la mayoría de los problemas automáticamente y le avisarán de algún problema que hayan detectado.
• Actualizar su sistema operativo y aplicaciones importantes a medida que haya actualizaciones disponibles. Muchos problemas de seguridad se pueden resolver instalando versiones actualizadas de software.
• Verificar su frase inicial: al configurar su billetera hardware, asegúrese de escribir y almacenar de forma segura su frase inicial.
• Utilizar una contraseña segura: evite utilizar contraseñas fáciles de adivinar o reutilizar contraseñas de otras cuentas.