- SentinelOne descubre una nueva variante de robo de información de SHub macOS llamada Reaper, que se propaga a través de dominios WeChat y Miro con errores tipográficos
- El malware se disfraza con componentes de actualización falsos de Apple y Google, estableciendo persistencia y acceso por puerta trasera.
- Ripper apunta a credenciales de navegador, billeteras criptográficas, administradores de contraseñas y documentos confidenciales, incluidos operadores de habla rusa que eluden los sistemas CIS.
Los investigadores de ciberseguridad de SentinelOne han descubierto una nueva variante del infame malware SHub macOS Infostellar llamado ‘Reaper’.
En un nuevo informe, SentinelOne dice que ha observado dominios tipográficos que falsifican las populares aplicaciones WeChat (una popular aplicación china de mensajería y redes sociales) y Miro (una plataforma de pizarra y colaboración visual en línea).
Las víctimas que utilicen macOS y busquen instalar estas aplicaciones desencadenarán una cadena de infección que cambia constantemente de disfraz para que el malware parezca legítimo en cada etapa del ataque. Después de iniciar el script, mostrará un mensaje de actualización falso que hace referencia a la herramienta de seguridad XProtectRemediator de Apple y, después de infectar el sistema, persistirá creando archivos y carpetas diseñados para parecerse a un componente genuino de Actualización de software de Google.
Evitando a los rusos
Almacenaría una puerta trasera en un directorio falso “GoogleUpdate” y registraría un agente de lanzamiento llamado “com.google.keystone.agent.plist”, dijeron los investigadores.
La campaña tiene como objetivo robar credenciales y archivos confidenciales, así como billeteras de criptomonedas. Si bien SentinelOn no atribuyó el ataque a ningún grupo o actor de amenaza específico, dijo que había varios indicios de que los operadores podrían ser de habla rusa (o al menos, tratando de evitar objetivos en los antiguos estados soviéticos).
El malware comprueba si el sistema infectado utiliza una fuente de entrada rusa y sale si detecta sistemas en la región CEI (Comunidad de Estados Independientes). SentinelOne también dijo que cuando intentó eludir la protección antianálisis del malware, un sitio web falso mostró un mensaje ruso de “acceso denegado”.
La variante Ripper se dirige principalmente a navegadores web, billeteras de criptomonedas y aplicaciones que pueden contener datos financieros o relacionados con el negocio, robando credenciales del navegador, datos de billeteras criptográficas, llaveros de inicio de sesión, datos de sesiones de Telegram y documentos del escritorio y carpetas de documentos.
También busca extensiones de navegador vinculadas a administradores de contraseñas como 1Password, Bitworden y LastPass, junto con billeteras de criptomonedas como Metamask y Phantom.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
