Un grupo de investigadores identificó un nuevo malware dirigido a los usuarios con computadoras Mac de Apple. Se trata de un virus capaz de robar archivos mediante una actualización falsa del programa Microsoft Visual Studio, disponible para MacOS.
¿Qué es este malware que ataca a usuarios de Mac?
El malware que se distribuye en dispositivos Mac es capaz de robar archivos mediante una puerta trasera (vulnerabilidad que permite entrar a un servidor, página o red, según T-Systems).
Se distribuye haciéndose pasar por una actualización del programa de Microsoft Visual Studio, según los investigadores de la compañía de ciberseguridad Bitdefender.
“Se trata de una nueva puerta trasera que pertenece a una familia de ‘malware’ que no había sido documentada anteriormente y que muestra un posible vínculo con un grupo de ‘ransomware’ de Windows”.
Bitdefender
Esta puerta trasera, identificada como Trojan.MAC.RustDoor, está dirigida a los usuarios de MacOS y escrita en Rust, un lenguaje de programación “relativamente nuevo” en el ecosistema de ‘malware‘ que ofrece a los ciberdelincuentes ventajas a la hora de evadir la detección y análisis del ataque.
- Dicha campaña lleva activa desde, por lo menos, noviembre de 2023. La última muestra del ‘malware‘ encontrada tiene fecha del 2 de febrero, lo que indica que “ha estado funcionando sin ser detectado durante al menos tres meses”.
[TAMBIÉN LEE: Borra estas 13 apps infectadas con malware que puede tomar el control del celular]
¿Cómo ataca “Trojan.MAC.RustDoor” a las personas?
El ‘malware‘ puede utilizarse para robar archivos o tipos de archivos específicos, así como para archivarlos y subirlos al centro de mando y control (C&C), de manera que los actores maliciosos puedan acceder a ellos.
Para distribuirse, Trojan.MAC.RustDoor suplanta una actualización del programa Visual Studio de Microsoft, cuyas muestras se identifican como:
- ‘VisualStudioUpdater’
- ‘VisualStudioUpdater_Patch’
- ‘VisualStudioUpdating’
- ‘visualstudioupdate’
- ‘DO_NOT_RUN_ChromeUpdates’
- ‘zshrc2’.
Estos archivos se pueden ejecutar en múltiples tipos de procesadores, incluyendo: Intel (x86_64) y ARM (Apple Silicon).
Los investigadores han identificado comandos con los que los ciberdelincuentes pueden recopilar y cargar archivos, así como obtener información sobre el propio dispositivo en el que se está llevando a cabo.
Algunos comandos envían un archivo Victim ID a los servidores que controlan la información. Posteriormente, dicho archivo se utiliza en “el resto de la comunicación con la puerta trasera“.
[TE PODRÍA INTERESAR: LassPass: borra esta app pirata, se trata de una estafa]
Todo lo que se sabe del malware que afecta a usuarios de Mac
Por el momento, esta campaña de ‘malware‘ no se puede atribuir a ningún actor de amenazas conocido, de acuerdo con Bitdefender.
También han observado similitudes con el ‘ransomware‘ ALPHV/BlackCat, que también utiliza el lenguaje de programación Rust y “dominios comunes”, como los servidores de infraestructura de mando y control.
De hecho, han puntualizado que tres de los cuatro servidores de mando y control utilizados en este ‘malware‘, se han asociado con campañas previas de ‘ransomware‘ dirigidas a clientes de Windows.