Las tecnologías de Sentinel One, son distribuidas en México por MAPS Disruptivo y te ayudarán a la protección de tus activos digitales, de cualquier OS, te dejamos a continuación un recopilatoria de la marca con los malwares identificados en 2022.
Si quieres conocer más al respecto puedes dar clic aquí.
2022 fue testigo de una serie de importantes campañas de malware dirigidas a la plataforma macOS y de la aparición de diez nuevas cepas o campañas de malware dirigidas a los usuarios de Apple Mac.
En este post, repasamos el comportamiento esencial de cada amenaza, ofrecemos las principales IOCS para los defensores y proporcionamos enlaces a otras perspectivas y análisis sobre cada descubrimiento de malware.
Resumen de las principales tendencias emergentes durante 2022
El malware para Mac a lo largo de 2022 ha mostrado algunas consistencias interesantes en el enfoque de los actores de las amenazas: uso intensivo de puertas traseras, marcos de ataque multiplataforma y preferencia por utilizar Go como lenguaje de desarrollo.
Los ataques a la cadena de suministro y el espionaje selectivo son los dos objetivos más comunes. Quizá lo más significativo sea el número de campañas que no están dirigidas únicamente a usuarios de macOS, sino que ahora incluyen un componente macOS junto a las cargas útiles más habituales de Windows y Linux.
Alchimist
Alchimist es un marco de ataque multiplataforma del que Cisco Talos informó por primera vez en octubre de 2022. Entre los artefactos descubiertos había un binario Mach-O y una biblioteca Mach-O construida en Go. La función principal del malware parece ser proporcionar una puerta trasera en el sistema objetivo. El malware intenta vincular un shell a un puerto para proporcionar a los operadores un shell remoto en la máquina víctima.
El marco de ataque utilizado para controlar el malware implantado utiliza una interfaz web escrita en chino simplificado. Desde la interfaz, el operador puede generar cargas útiles configuradas, establecer sesiones remotas, desplegar cargas útiles y encomendar a los implantes activos diversas acciones, como realizar capturas de pantalla y ejecutar comandos arbitrarios.
Dado que esta herramienta rara vez se encuentra en los Mac, pero es ampliamente utilizada en varias distribuciones de Linux, es probable que se trate de un artefacto de la naturaleza multiplataforma de la programación. Alternativamente, podría indicar una carga útil configurada para un objetivo altamente específico.
ChromeLoader
ChromeLoader (también conocido como ChromeBack, Choziosi Loader) fue reportado por primera vez en enero de 2022 y se generalizó a lo largo de la primera mitad de este año a través de malverts y malspam. El malware adopta la forma de un DMG que contiene un script de shell, un método de infección habitual para los cargadores de adware y bundleware desde el éxito de OSX.Shlayer. El instalador también intenta “ayudar” a la víctima a anular la tecnología de seguridad integrada de macOS con una imagen animada de baja calidad.
El script Bash instala una extensión del navegador Chrome que está codificada en un archivo separado en el DMG o se recupera de forma remota desde una URL codificada.
La extensión tiene la capacidad de robar información, secuestrar las consultas del motor de búsqueda de la víctima y servir adware.
Los investigadores de Palo Alto informaron de que ChromeLoader instala un listener para interceptar el tráfico saliente del navegador. Si la solicitud de URL es a un motor de búsqueda, los detalles de la búsqueda se envían a los atacantes C2.
Programa espía CloudMensis para macOS
Reportado por primera vez por ESET en julio de 2022, CloudMensis es un descargador e implantador de spyware que utiliza servicios públicos de almacenamiento en la nube como Dropbox, Yandex Disk y pCloud para comunicarse con su C2 a través de tokens de acceso.
Escrito en Objective-C, el descargador, Ejecutar, contiene código ya redundante que sugiere que existe desde hace varios años. El implante de puerta trasera, Client, contiene código que soporta funciones como listar procesos en ejecución, listar mensajes de correo electrónico y archivos adjuntos, listar archivos en almacenamiento externo, ejecutar comandos arbitrarios, exfiltrar archivos y realizar capturas de pantalla.
La funcionalidad de captura de pantalla requiere que CloudMensis eluda las restricciones de la TCC, lo que intenta explotando la CVE-2020-9934. Se trata de un bypass bastante antiguo y puede indicar que se sabía que los objetivos ejecutaban macOS Catalina 10.5.6 o anterior.
CrateDepression
Informado por SentinelLabs en mayo, CrateDepression fue un ataque a la cadena de suministro en la comunidad de desarrollo Rust que dejó caer cargas útiles Poseidon sobre sus víctimas. Los actores de la amenaza habían alojado un crate malicioso llamado ‘rustdecimal’ en crates.io, un typosquat del crate genuino, rust_decimal.
El malware inspecciona las máquinas infectadas en busca de la variable de entorno GITLAB_CI, que es indicativa de las canalizaciones de integración continua (IC) utilizadas en el desarrollo de software. Si la variable de entorno está presente en el dispositivo infectado, el malware recupera una carga útil de segunda etapa construida en red-teaming post-exploitationt framework, Mythic, y la escribe en /tmp/git-updater.bin.
El ejecutable está escrito en Go y es un implante Poseidon. Tanto las cargas útiles de macOS como las de Linux estaban disponibles para los atacantes, y ambas contenían funcionalidades similares, incluyendo capacidades de captura de pantalla, keylogging, recuperación remota de archivos, exfiltración y persistencia.
DazzleSpy
Detectado por primera vez por ESET a finales de enero, DazzleSpy es un malware muy sofisticado que utiliza técnicas avanzadas para eludir la detección y mantenerse en las máquinas infectadas.
El malware se presenta en forma de un archivo Mach-O sin firmar compilado para la arquitectura Intel x86. Cuando se ejecuta el archivo Mach-O, instala un LaunchAgent de persistencia que se hace pasar por un servicio de lanzamiento de Apple.
Este falso servicio se dirige a un ejecutable llamado “softwareupdate” situado en una carpeta oculta en el directorio personal del usuario.
DazzleSpy contiene código para buscar y escribir archivos, exfiltrar información ambiental, volcar el llavero, ejecutar un escritorio remoto y ejecutar comandos shell, entre otras cosas.
Los datos recopilados se ocultan en un directorio en ~/.local.
Truco
A finales de 2021, SentinelLabs informó sobre macOS.Macma, una puerta trasera descubierta por el Grupo de Análisis de Amenazas de Google que estaba siendo utilizada por una APT dirigida a activistas pro-democracia en Hong Kong. En marzo de 2022, los investigadores de Volexity informaron de una amenaza que denominaron OSX.GIMMICK, relacionada con un grupo APT chino que, según ellos, es famoso por tener como objetivo a grupos minoritarios y de protesta en toda Asia.
GIMMICK y Macma presentan una serie de solapamientos de indicadores, incluido el uso de rutas de caída similares para los archivos asociados al malware (una subcarpeta de ~/Librería/Preferencias) y etiquetas de agente de persistencia similares (com.*.va.plist).
GIMMICK se describe como una familia de malware multiplataforma rica en funciones que aprovecha servicios de alojamiento en la nube como Google Drive para sus comunicaciones C2. La variante para macOS de esta familia está escrita en Objective-C y contiene un conjunto de comandos de puerta trasera para uso del operador:
Lazarus
‘Operación In(ter)cepción
Detectada por primera vez este año en agosto por ESET y dirigida a los usuarios de Coinbase, y de nuevo en septiembre por SentinelOne con una nueva variante dirigida a Crypto.com, la Operación In(ter)ception es una campaña en curso atribuida a un actor de amenazas APT vinculado a Corea del Norte, más ampliamente conocido como “Lazarus”.
La campaña lleva utilizando señuelos de atractivas ofertas de trabajo desde al menos 2020, pero este año se descubrió un novedoso malware para macOS con documentos PDF incrustados que anunciaban ofertas de trabajo e intentaban hacerse pasar por procesos legítimos con nombres como wifianalyticsagent y safarifontsagent.
Este malware multietapa instala primero un LaunchAgent para su persistencia en la carpeta local del usuario, obviando la necesidad de permisos adicionales, aunque en macOS Ventura eso hace que ahora al menos se levante una notificación de alerta.
La segunda etapa en la variante Crypto.com es un bundle de aplicación bare-bones llamado “WifiAnalyticsServ.app” (“FinderFontsUpdater.app” en la variante Coinbase). con el identificador de bundle finder.fonts.extractor. La segunda etapa extrae y ejecuta un binario de tercera etapa, wifianalyticsagent, que sirve como descargador de una cuarta etapa no recuperada de un C2 en market.contradecapital[.]com (variante Crypto.com) o concrecapital[.]com (variante Coinbase).
oRAT
A finales de abril de 2022, TrendMicro informó sobre un grupo APT al que apodaron Earth Berberoka (también conocido como GamblingPuppet) dirigido a sitios web de apuestas. El actor de la amenaza se dirige a las plataformas Windows, Linux y macOS, y utiliza familias de malware previamente atribuidas a individuos de habla china. SentinelOne informó de la variante para macOS, oRAT, a principios de mayo.
El malware oRAT se distribuye a través de una imagen de disco que se hace pasar por una colección de Bitget Apps. La imagen de disco contiene un paquete con el nombre “Bitget Apps.pkg” y el identificador de distribución com.adobe.pkg.Bitget.
Ni la imagen de disco ni el paquete instalador tienen una firma de desarrollador válida, y el paquete sólo contiene un script de preinstalación, cuyo propósito es entregar una carga útil en el directorio /tmp, dar a la carga útil permisos de ejecutable y luego lanzarla.
La carga útil es un binario Go empaquetado con UPX que incluye un paquete personalizado, orat_utils,
El binario contiene un archivo de configuración encriptado que le asigna la tarea de llamar a uno de los protocolos orat_protocol.DialTCP, orat_protocol.DialSTCP u orat_protocol.DialSUDP para establecer una conexión. Los protocolos TCP aprovechan smux mientras que el protocolo SUDP aprovecha QUIC. El malware realiza un bucle con un ciclo de espera de 5 segundos mientras espera una respuesta y nuevas tareas del operador.
Pymafka
Una semana después del ataque CrateDepression a la comunidad de desarrollo Rust, investigadores de Sonatype informaron de un ataque a la cadena de suministro a través de un paquete Python malicioso llamado pymafka dirigido al popular registro PyPI. El paquete intentaba infectar a los usuarios mediante typosquatting: esperando que las víctimas que buscaban el paquete legítimo ‘pykafka’ tecleasen mal la consulta y descargasen el malware en su lugar.
El paquete pymafka contiene un script Python que vigila el host y determina su sistema operativo.
Si el dispositivo ejecuta macOS, llega a un C2 y descarga un binario Mach-O llamado ‘MacOs’, que se escribe en /var/tmp con el nombre de archivo “zad”.
El archivo descargado está empaquetado con UPX. Tras desempaquetarlo, SentinelLabs reconoció que el malware estaba ofuscado del mismo modo que la carga útil de la campaña OSX.Zuru. Tanto la carga útil ‘zad’ como la de OSX.Zuru tienen secciones __cstring y __const que no sólo tienen el mismo tamaño, sino exactamente los mismos valores hash.
Los dos ejecutables también muestran una entropía muy similar en todas las secciones. Ambos, al parecer, son cargas útiles Cobalt Strike ofuscadas. Esto no significa necesariamente que las campañas estén vinculadas; es posible que diferentes actores se hayan unido en torno a un conjunto de TTP similares y estén utilizando una herramienta o técnica común para ofuscar las cargas útiles Cobalt Strike.
Troyano VPN
En julio, SentinelOne informó sobre un troyano VPN que se utilizaba para soltar dos binarios maliciosos, denominados ‘softwareupdated’ y ‘covid’. El malware tenía similitudes superficiales con DazzleSpy.
La aplicación VPN, que se distribuía en un DMG, ejecuta un script que deja caer un agente de persistencia con el mismo nombre de archivo que DazzleSpy, com.apple.softwareupdate.plist, y un nombre de ejecutable de destino casi idéntico (DazzleSpy utiliza ‘softwareupdate’, en lugar de ‘softwareupdated’). Al igual que DazzleSpy, este malware escribe en una carpeta oculta en el directorio personal del usuario (.androids, y .local en el caso de DazzleSpy).
‘softwareupdated’ es un implante Sliver escrito en Go que se hace pasar por un binario del sistema Apple. El binario ‘covid’ también es un ejecutable Go, esta vez empaquetado con UPX. Tras desempaquetarlo, el binario resulta ser una NSApplication construida utilizando MacDriver, un proyecto de código abierto disponible en Github que proporciona un conjunto de herramientas para trabajar con marcos y API de Apple en Go. El binario covid utiliza una técnica “sin archivos” para ejecutar otra carga útil en memoria, evidenciada por los signos reveladores de NSCreateObjectFileImageFromMemory y NSLinkModule. Esta técnica se ha visto en algunas campañas en los últimos años, incluida la de APT Lazarus, vinculada a Corea del Norte.
El script dropper y ambos binarios llegan al mismo C2, http[:]//46[.]137.201.254 para realizar otras tareas. Como el C2 estaba fuera de línea en el momento de la investigación, la carga útil final sigue siendo desconocida.
También corrió | Otro malware para macOS visto en 2022
El primer nuevo informe de malware para Mac de 2022 llegó por cortesía de los investigadores de Intezer en forma de una amenaza a la que apodaron SysJoker, que se presenta en variantes para Windows, Linux y macOS.
SysJoker es una puerta trasera escrita en Objective-C y se distribuyó inicialmente a través de un ejecutable llamado types-config.ts. El dropper instala un agente de persistencia en ~/Library/LaunchAgents/com.apple.update.plist. Este agente se dirige a un ejecutable en ~/Library/MacOsServices/updateMacOs.
El año pasado también se produjo una nueva variante de la campaña XCSSET, de larga duración, y una versión para Mac de una aplicación de chat china troyanizada llamada Mimi, una puerta trasera atribuida al grupo APT IronTiger.
Además, las infecciones de adware de Pirrit, Bundlore y Adload siguen dirigiéndose a los usuarios con una serie de técnicas cambiantes y a veces desafiantes, sobre las que actualmente se está preparando un informe actualizado.
Cómo mantenerse a salvo del malware para macOS
La plataforma Singularity de SentinelOne defiende las flotas de macOS de las organizaciones contra todas estas y muchas otras amenazas dirigidas a los usuarios de Mac.
Además, SentinelOne y SentinelLabs han publicado varios libros electrónicos para ayudar a los administradores de Mac, equipos informáticos y administradores de seguridad a comprender mejor los riesgos y fortificar sus defensas. Entre ellos se incluyen A Guide to macOS Threat Hunting and Incident Response y The Complete Guide to Understanding Apple Mac Security for Enterprise. Los analistas también pueden consultar nuestro ebook How To Reverse Malware on macOS (Cómo revertir el malware en macOS), así como la serie de publicaciones de SentinelLabs sobre la reversión del malware de macOS con radare2.
Conclusión
En nuestro análisis de 2021 sobre el malware para macOS, señalamos que para las empresas con flotas de macOS, estaba claro que los actores de amenazas se habían interesado cada vez más por la plataforma Mac de Apple, estaban más familiarizados con la forma de explotarla y se interesaban por objetivos de alto valor como los desarrolladores y los ejecutivos de la C-Suite, que suelen elegir Mac.
Estas tendencias continúan con la inclusión cada vez más habitual de componentes de macOS en marcos de ataque multiplataforma y con el uso de lenguajes como Go, que permiten a los actores de amenazas preocuparse poco por el sistema operativo que puedan elegir las víctimas. Como hemos señalado antes, la elección del SO no es una medida de seguridad, y los usuarios empresariales necesitan hoy en día una plataforma de protección de puntos finales totalmente capaz, independientemente de si trabajan en dispositivos Linux, Windows o incluso macOS.
Sentinel One nos trae “Los 10 principales descubrimientos de malware para macOS en 2022”
Las tecnologías de Sentinel One, son distribuidas en México por MAPS Disruptivo y te ayudarán a la protección de tus activos digitales, de cualquier OS, te dejamos a continuación un recopilatoria de la marca con los malwares identificados en 2022.
Si quieres conocer más al respecto puedes dar clic aquí.
2022 fue testigo de una serie de importantes campañas de malware dirigidas a la plataforma macOS y de la aparición de diez nuevas cepas o campañas de malware dirigidas a los usuarios de Apple Mac.
En este post, repasamos el comportamiento esencial de cada amenaza, ofrecemos las principales IOCS para los defensores y proporcionamos enlaces a otras perspectivas y análisis sobre cada descubrimiento de malware.
Resumen de las principales tendencias emergentes durante 2022
El malware para Mac a lo largo de 2022 ha mostrado algunas consistencias interesantes en el enfoque de los actores de las amenazas: uso intensivo de puertas traseras, marcos de ataque multiplataforma y preferencia por utilizar Go como lenguaje de desarrollo.
Los ataques a la cadena de suministro y el espionaje selectivo son los dos objetivos más comunes. Quizá lo más significativo sea el número de campañas que no están dirigidas únicamente a usuarios de macOS, sino que ahora incluyen un componente macOS junto a las cargas útiles más habituales de Windows y Linux.
Alchimist es un marco de ataque multiplataforma del que Cisco Talos informó por primera vez en octubre de 2022. Entre los artefactos descubiertos había un binario Mach-O y una biblioteca Mach-O construida en Go. La función principal del malware parece ser proporcionar una puerta trasera en el sistema objetivo. El malware intenta vincular un shell a un puerto para proporcionar a los operadores un shell remoto en la máquina víctima.
El marco de ataque utilizado para controlar el malware implantado utiliza una interfaz web escrita en chino simplificado. Desde la interfaz, el operador puede generar cargas útiles configuradas, establecer sesiones remotas, desplegar cargas útiles y encomendar a los implantes activos diversas acciones, como realizar capturas de pantalla y ejecutar comandos arbitrarios.
Dado que esta herramienta rara vez se encuentra en los Mac, pero es ampliamente utilizada en varias distribuciones de Linux, es probable que se trate de un artefacto de la naturaleza multiplataforma de la programación. Alternativamente, podría indicar una carga útil configurada para un objetivo altamente específico.
ChromeLoader (también conocido como ChromeBack, Choziosi Loader) fue reportado por primera vez en enero de 2022 y se generalizó a lo largo de la primera mitad de este año a través de malverts y malspam. El malware adopta la forma de un DMG que contiene un script de shell, un método de infección habitual para los cargadores de adware y bundleware desde el éxito de OSX.Shlayer. El instalador también intenta “ayudar” a la víctima a anular la tecnología de seguridad integrada de macOS con una imagen animada de baja calidad.
El script Bash instala una extensión del navegador Chrome que está codificada en un archivo separado en el DMG o se recupera de forma remota desde una URL codificada.
La extensión tiene la capacidad de robar información, secuestrar las consultas del motor de búsqueda de la víctima y servir adware.
Los investigadores de Palo Alto informaron de que ChromeLoader instala un listener para interceptar el tráfico saliente del navegador. Si la solicitud de URL es a un motor de búsqueda, los detalles de la búsqueda se envían a los atacantes C2.
Reportado por primera vez por ESET en julio de 2022, CloudMensis es un descargador e implantador de spyware que utiliza servicios públicos de almacenamiento en la nube como Dropbox, Yandex Disk y pCloud para comunicarse con su C2 a través de tokens de acceso.
Escrito en Objective-C, el descargador, Ejecutar, contiene código ya redundante que sugiere que existe desde hace varios años. El implante de puerta trasera, Client, contiene código que soporta funciones como listar procesos en ejecución, listar mensajes de correo electrónico y archivos adjuntos, listar archivos en almacenamiento externo, ejecutar comandos arbitrarios, exfiltrar archivos y realizar capturas de pantalla.
La funcionalidad de captura de pantalla requiere que CloudMensis eluda las restricciones de la TCC, lo que intenta explotando la CVE-2020-9934. Se trata de un bypass bastante antiguo y puede indicar que se sabía que los objetivos ejecutaban macOS Catalina 10.5.6 o anterior.
Informado por SentinelLabs en mayo, CrateDepression fue un ataque a la cadena de suministro en la comunidad de desarrollo Rust que dejó caer cargas útiles Poseidon sobre sus víctimas. Los actores de la amenaza habían alojado un crate malicioso llamado ‘rustdecimal’ en crates.io, un typosquat del crate genuino, rust_decimal.
El malware inspecciona las máquinas infectadas en busca de la variable de entorno GITLAB_CI, que es indicativa de las canalizaciones de integración continua (IC) utilizadas en el desarrollo de software. Si la variable de entorno está presente en el dispositivo infectado, el malware recupera una carga útil de segunda etapa construida en red-teaming post-exploitationt framework, Mythic, y la escribe en /tmp/git-updater.bin.
El ejecutable está escrito en Go y es un implante Poseidon. Tanto las cargas útiles de macOS como las de Linux estaban disponibles para los atacantes, y ambas contenían funcionalidades similares, incluyendo capacidades de captura de pantalla, keylogging, recuperación remota de archivos, exfiltración y persistencia.
Detectado por primera vez por ESET a finales de enero, DazzleSpy es un malware muy sofisticado que utiliza técnicas avanzadas para eludir la detección y mantenerse en las máquinas infectadas.
El malware se presenta en forma de un archivo Mach-O sin firmar compilado para la arquitectura Intel x86. Cuando se ejecuta el archivo Mach-O, instala un LaunchAgent de persistencia que se hace pasar por un servicio de lanzamiento de Apple.
Este falso servicio se dirige a un ejecutable llamado “softwareupdate” situado en una carpeta oculta en el directorio personal del usuario.
DazzleSpy contiene código para buscar y escribir archivos, exfiltrar información ambiental, volcar el llavero, ejecutar un escritorio remoto y ejecutar comandos shell, entre otras cosas.
Los datos recopilados se ocultan en un directorio en ~/.local.
A finales de 2021, SentinelLabs informó sobre macOS.Macma, una puerta trasera descubierta por el Grupo de Análisis de Amenazas de Google que estaba siendo utilizada por una APT dirigida a activistas pro-democracia en Hong Kong. En marzo de 2022, los investigadores de Volexity informaron de una amenaza que denominaron OSX.GIMMICK, relacionada con un grupo APT chino que, según ellos, es famoso por tener como objetivo a grupos minoritarios y de protesta en toda Asia.
GIMMICK y Macma presentan una serie de solapamientos de indicadores, incluido el uso de rutas de caída similares para los archivos asociados al malware (una subcarpeta de ~/Librería/Preferencias) y etiquetas de agente de persistencia similares (com.*.va.plist).
GIMMICK se describe como una familia de malware multiplataforma rica en funciones que aprovecha servicios de alojamiento en la nube como Google Drive para sus comunicaciones C2. La variante para macOS de esta familia está escrita en Objective-C y contiene un conjunto de comandos de puerta trasera para uso del operador:
‘Operación In(ter)cepción
Detectada por primera vez este año en agosto por ESET y dirigida a los usuarios de Coinbase, y de nuevo en septiembre por SentinelOne con una nueva variante dirigida a Crypto.com, la Operación In(ter)ception es una campaña en curso atribuida a un actor de amenazas APT vinculado a Corea del Norte, más ampliamente conocido como “Lazarus”.
La campaña lleva utilizando señuelos de atractivas ofertas de trabajo desde al menos 2020, pero este año se descubrió un novedoso malware para macOS con documentos PDF incrustados que anunciaban ofertas de trabajo e intentaban hacerse pasar por procesos legítimos con nombres como wifianalyticsagent y safarifontsagent.
Este malware multietapa instala primero un LaunchAgent para su persistencia en la carpeta local del usuario, obviando la necesidad de permisos adicionales, aunque en macOS Ventura eso hace que ahora al menos se levante una notificación de alerta.
La segunda etapa en la variante Crypto.com es un bundle de aplicación bare-bones llamado “WifiAnalyticsServ.app” (“FinderFontsUpdater.app” en la variante Coinbase). con el identificador de bundle finder.fonts.extractor. La segunda etapa extrae y ejecuta un binario de tercera etapa, wifianalyticsagent, que sirve como descargador de una cuarta etapa no recuperada de un C2 en market.contradecapital[.]com (variante Crypto.com) o concrecapital[.]com (variante Coinbase).
A finales de abril de 2022, TrendMicro informó sobre un grupo APT al que apodaron Earth Berberoka (también conocido como GamblingPuppet) dirigido a sitios web de apuestas. El actor de la amenaza se dirige a las plataformas Windows, Linux y macOS, y utiliza familias de malware previamente atribuidas a individuos de habla china. SentinelOne informó de la variante para macOS, oRAT, a principios de mayo.
El malware oRAT se distribuye a través de una imagen de disco que se hace pasar por una colección de Bitget Apps. La imagen de disco contiene un paquete con el nombre “Bitget Apps.pkg” y el identificador de distribución com.adobe.pkg.Bitget.
Ni la imagen de disco ni el paquete instalador tienen una firma de desarrollador válida, y el paquete sólo contiene un script de preinstalación, cuyo propósito es entregar una carga útil en el directorio /tmp, dar a la carga útil permisos de ejecutable y luego lanzarla.
La carga útil es un binario Go empaquetado con UPX que incluye un paquete personalizado, orat_utils,
El binario contiene un archivo de configuración encriptado que le asigna la tarea de llamar a uno de los protocolos orat_protocol.DialTCP, orat_protocol.DialSTCP u orat_protocol.DialSUDP para establecer una conexión. Los protocolos TCP aprovechan smux mientras que el protocolo SUDP aprovecha QUIC. El malware realiza un bucle con un ciclo de espera de 5 segundos mientras espera una respuesta y nuevas tareas del operador.
Una semana después del ataque CrateDepression a la comunidad de desarrollo Rust, investigadores de Sonatype informaron de un ataque a la cadena de suministro a través de un paquete Python malicioso llamado pymafka dirigido al popular registro PyPI. El paquete intentaba infectar a los usuarios mediante typosquatting: esperando que las víctimas que buscaban el paquete legítimo ‘pykafka’ tecleasen mal la consulta y descargasen el malware en su lugar.
El paquete pymafka contiene un script Python que vigila el host y determina su sistema operativo.
Si el dispositivo ejecuta macOS, llega a un C2 y descarga un binario Mach-O llamado ‘MacOs’, que se escribe en /var/tmp con el nombre de archivo “zad”.
El archivo descargado está empaquetado con UPX. Tras desempaquetarlo, SentinelLabs reconoció que el malware estaba ofuscado del mismo modo que la carga útil de la campaña OSX.Zuru. Tanto la carga útil ‘zad’ como la de OSX.Zuru tienen secciones __cstring y __const que no sólo tienen el mismo tamaño, sino exactamente los mismos valores hash.
Los dos ejecutables también muestran una entropía muy similar en todas las secciones. Ambos, al parecer, son cargas útiles Cobalt Strike ofuscadas. Esto no significa necesariamente que las campañas estén vinculadas; es posible que diferentes actores se hayan unido en torno a un conjunto de TTP similares y estén utilizando una herramienta o técnica común para ofuscar las cargas útiles Cobalt Strike.
En julio, SentinelOne informó sobre un troyano VPN que se utilizaba para soltar dos binarios maliciosos, denominados ‘softwareupdated’ y ‘covid’. El malware tenía similitudes superficiales con DazzleSpy.
La aplicación VPN, que se distribuía en un DMG, ejecuta un script que deja caer un agente de persistencia con el mismo nombre de archivo que DazzleSpy, com.apple.softwareupdate.plist, y un nombre de ejecutable de destino casi idéntico (DazzleSpy utiliza ‘softwareupdate’, en lugar de ‘softwareupdated’). Al igual que DazzleSpy, este malware escribe en una carpeta oculta en el directorio personal del usuario (.androids, y .local en el caso de DazzleSpy).
‘softwareupdated’ es un implante Sliver escrito en Go que se hace pasar por un binario del sistema Apple. El binario ‘covid’ también es un ejecutable Go, esta vez empaquetado con UPX. Tras desempaquetarlo, el binario resulta ser una NSApplication construida utilizando MacDriver, un proyecto de código abierto disponible en Github que proporciona un conjunto de herramientas para trabajar con marcos y API de Apple en Go. El binario covid utiliza una técnica “sin archivos” para ejecutar otra carga útil en memoria, evidenciada por los signos reveladores de NSCreateObjectFileImageFromMemory y NSLinkModule. Esta técnica se ha visto en algunas campañas en los últimos años, incluida la de APT Lazarus, vinculada a Corea del Norte.
El script dropper y ambos binarios llegan al mismo C2, http[:]//46[.]137.201.254 para realizar otras tareas. Como el C2 estaba fuera de línea en el momento de la investigación, la carga útil final sigue siendo desconocida.
También corrió | Otro malware para macOS visto en 2022
El primer nuevo informe de malware para Mac de 2022 llegó por cortesía de los investigadores de Intezer en forma de una amenaza a la que apodaron SysJoker, que se presenta en variantes para Windows, Linux y macOS.
SysJoker es una puerta trasera escrita en Objective-C y se distribuyó inicialmente a través de un ejecutable llamado types-config.ts. El dropper instala un agente de persistencia en ~/Library/LaunchAgents/com.apple.update.plist. Este agente se dirige a un ejecutable en ~/Library/MacOsServices/updateMacOs.
El año pasado también se produjo una nueva variante de la campaña XCSSET, de larga duración, y una versión para Mac de una aplicación de chat china troyanizada llamada Mimi, una puerta trasera atribuida al grupo APT IronTiger.
Además, las infecciones de adware de Pirrit, Bundlore y Adload siguen dirigiéndose a los usuarios con una serie de técnicas cambiantes y a veces desafiantes, sobre las que actualmente se está preparando un informe actualizado.
Cómo mantenerse a salvo del malware para macOS
La plataforma Singularity de SentinelOne defiende las flotas de macOS de las organizaciones contra todas estas y muchas otras amenazas dirigidas a los usuarios de Mac.
Además, SentinelOne y SentinelLabs han publicado varios libros electrónicos para ayudar a los administradores de Mac, equipos informáticos y administradores de seguridad a comprender mejor los riesgos y fortificar sus defensas. Entre ellos se incluyen A Guide to macOS Threat Hunting and Incident Response y The Complete Guide to Understanding Apple Mac Security for Enterprise. Los analistas también pueden consultar nuestro ebook How To Reverse Malware on macOS (Cómo revertir el malware en macOS), así como la serie de publicaciones de SentinelLabs sobre la reversión del malware de macOS con radare2.
Conclusión
En nuestro análisis de 2021 sobre el malware para macOS, señalamos que para las empresas con flotas de macOS, estaba claro que los actores de amenazas se habían interesado cada vez más por la plataforma Mac de Apple, estaban más familiarizados con la forma de explotarla y se interesaban por objetivos de alto valor como los desarrolladores y los ejecutivos de la C-Suite, que suelen elegir Mac.
Estas tendencias continúan con la inclusión cada vez más habitual de componentes de macOS en marcos de ataque multiplataforma y con el uso de lenguajes como Go, que permiten a los actores de amenazas preocuparse poco por el sistema operativo que puedan elegir las víctimas. Como hemos señalado antes, la elección del SO no es una medida de seguridad, y los usuarios empresariales necesitan hoy en día una plataforma de protección de puntos finales totalmente capaz, independientemente de si trabajan en dispositivos Linux, Windows o incluso macOS.
Categorías
Buscar