El panorama de la seguridad cibernética está presenciando un aumento alarmante en el malware de robo de información dirigido a macOS, que marca un cambio significativo del modelo tradicional de amenazas centrada en Windows.
Estos sofisticados infantes de infantes están evolucionando rápidamente para explotar entornos de macOS con precisión sin precedentes, dirigidos a datos valiosos, incluidas las credenciales del navegador, las cookies e información de enfoque automático que sirve como puertas de enlace para grupos de ransomware y corredores de acceso inicial.
La aparición de estos Infentes de MacOS representa una respuesta calculada a la creciente adopción empresarial de los sistemas Apple. A diferencia de sus contrapartes de Windows, estas amenazas aprovechan los vectores de ataque específicos de la plataforma para evitar las medidas de seguridad tradicionales.
El objetivo principal del malware se centra en la cosecha de datos almacenados en el navegador, información del host y los detalles de la aplicación instalados, creando huellas digitales completos de sistemas infectados.
Analistas del equipo de Flashpoint Intel identificado Cuatro cepas prominentes que dominan el panorama de amenazas actual: robador atómico, reconocido como la oferta de malware como servicio más frecuente; Poseidon Stealer, una variante sofisticada con conexiones con el equipo de desarrollo de Atomic; Cthulu, otra plataforma MAAS significativa; y Banshee, contribuyendo al ecosistema en expansión.
Estas familias procesan colectivamente más de 300 millones de credenciales mensualmente, con aproximadamente 50 millones de credenciales únicas y 6 millones de entradas nunca antes vistas capturadas en 1,5 millones de anfitriones infectados.
Mecanismos de infección técnica y explotación del sistema
La metodología de infección empleada por estos infantes de infantes demuestra una comprensión sofisticada de la arquitectura de MacOS.
El malware utiliza principalmente AppleScript para generar indicaciones de autenticación engañosas, explotando la confianza del usuario en diálogos legítimos del sistema.
Una secuencia de infección típica implica:-
Diálogo de visualización “Actualización del sistema requerida” con el título “Botones de actualización de seguridad de macOS” Botones {“Cancelar”, “Instalar”} Botón predeterminado “Instalar”
Después de una ingeniería social exitosa, el malware ejecuta comandos de perfiladores del sistema para enumerar las configuraciones de hardware y software.
El comando System_Profiler SphardWaredAtatype revela las especificaciones del sistema, mientras que System_Profiler Spapplications Datatype Catálogos instaló aplicaciones, proporcionando a los atacantes datos de reconocimiento detallados.
La exfiltración de datos ocurre a través de solicitudes de publicación HTTP a servidores de comando y control, con información recopilada comprimida utilizando utilidades de archivo estándar.
El malware generalmente se dirige a las entradas del llavero de Safari, los archivos de estado locales de Chrome y las bases de datos Logins.json de Firefox, cosechando sistemáticamente las credenciales almacenadas antes de la transmisión a una infraestructura remota.
Esta sofisticación técnica, combinada con la rápida evolución de las técnicas de evasión de detección, posiciona a los Infente de MacOS como una amenaza formidable que requiere atención organizacional inmediata y medidas de seguridad mejoradas.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
