Siguiendo con más temas de seguridad en nuestros equipos Mac y ciberseguridad, ayer os hablábamos del malware BANSHEE Stealer, recientemente Hunt.io y Kandji detallaron otra variedad de InfoStealer de macOS que se hace pasar por la aplicación Unarchiver para robar datos del usuario que aprovecha las API SwiftUI y Open Directory de Apple para capturar y verificar las contraseñas ingresadas por el usuario en un mensaje falso que se muestra para completar el proceso de instalación.
Un InfoStealer o info stealer («ladrón de información» en inglés) es el nombre genérico de programas informáticos maliciosos del tipo troyano, que se introducen a través de internet en un ordenador con el propósito de obtener de forma fraudulenta información confidencial del propietario, tal como su nombre de acceso a sitios web, contraseñas o número de tarjeta de crédito. Ya hemos visto otros casos en el pasado como AdLoad y Realst.
Symantec, propiedad de Broadcom, también dijo:
Comienza ejecutando un cuentagotas basado en Swift que muestra una solicitud de contraseña falsa para engañar a los usuarios. Después de capturar las credenciales, el malware las verifica utilizando la API OpenDirectory y posteriormente descarga y ejecuta scripts maliciosos desde un servidor de comando y control.
Este infostealer, fue descubierto por el usuario de X @4n6Bexaminer
This #macOS #stealer #malware isn't immediately recognisable to me. DMG and app file masquerading as The Unarchiver, uses Swift to capture password, downloads secondary payload containing shell scripts to collect, stage, and exfil data to c2 hxxp[://]81.19.137[.]179/api/index.php pic.twitter.com/4iPmIcokr9
— Bex (@4n6Bexaminer) July 29, 2024
Este desarrollo también sigue a la continua aparición de nuevos ladrones basados en Windows como Flame Stealer, incluso cuando sitios falsos que se hacen pasar por la herramienta de inteligencia artificial (IA) de texto a video de OpenAI, Sora, se están utilizando para propagar Braodo Stealer.
Por otra parte, los usuarios israelíes están siendo atacados con correos electrónicos de phishing que contienen archivos adjuntos RAR que se hacen pasar por Calcalist y Mako para entregar Rhadamanthys Stealer .
Así pues, verificar siempre las páginas de donde descarguéis apps gratuitas porque pueden contener sorpresas poco agradables.