Los investigadores de SentinelOne advierten que varias versiones del malware ReaderUpdate, escritas en los lenguajes de programación Crystal, Nim, Rust y Go, apuntan a los usuarios de macOS.
ReaderUpdate es un cargador de malware para macOS que ha estado activo desde 2020. El código malicioso se vio por primera vez como un binario compilado de Python y se detectó que distribuía adware OSX/Genieo (también conocido como «Genieo»). Permaneció en gran medida sin ser detectado hasta que resurgió a fines de 2024 con nuevas variantes escritas en Crystal, Nim y Rust.
SentinelOne dice que ReaderUpdate se distribuye actualmente en cinco variantes compiladas a partir de cinco idiomas fuente diferentes.
Las nuevas variantes de ReaderUpdate se propagan mediante infecciones antiguas y descargas de terceros, a menudo mediante aplicaciones troyanizadas como «DragonDrop». DragonDrop es un programa potencialmente no deseado (PUP) que se manifiesta como una extensión de navegador cuestionable que se dirige a aplicaciones como Google Chrome y Safari
Todas las versiones de ReaderUpdate son exclusivamente para Intel x86 y requieren Rosetta 2 en Apple Silicon. Informes recientes han analizado las versiones de Crystal, Nim y Rust, mientras que la variante Go se está documentando por primera vez.
La variante escrita en Go del malware analizado por los investigadores recopila información del hardware del sistema para identificar a las víctimas únicas y se oculta en ~/Library/Application Support/El malware mantiene la persistencia a través de un .plistArchivo. Ejecuta comandos C2 remotos. Los expertos de SentinelOne creen que el código malicioso podría usarse para ofrecer a otros actores de amenazas pagos por instalación (PPI) o malware como servicio (MaaS).
¿Qué es el malware «ReaderUpdate»?
La familia de malware «ReaderUpdate» es un tipo de software malicioso que se hace pasar por una actualización legítima de Adobe Reader. Normalmente, los ciberdelincuentes disfrazan el malware bajo la apariencia de un programa aparentemente inofensivo; en este caso, una notificación de actualización para el popular lector de PDF, Adobe Acrobat Reader. Este malware suele explotar vulnerabilidades del sistema para obtener acceso no autorizado al ordenador de la víctima y realizar actividades maliciosas.
Las nuevas variantes de «ReaderUpdate» atacan específicamente a dispositivos macOS, explotando vulnerabilidades conocidas y desconocidas del sistema operativo. El malware se propaga principalmente mediante correos electrónicos de phishing, sitios web falsos o descargas maliciosas camufladas como actualizaciones de software. Una vez ejecutado, puede tomar el control del sistema y realizar diversas acciones dañinas, como robar datos confidenciales, instalar software malicioso adicional e incluso controlar remotamente el dispositivo infectado.
¿Cómo funciona el malware ReaderUpdate?
El mecanismo principal del malware «ReaderUpdate» consiste en engañar a los usuarios para que descarguen y ejecuten el archivo malicioso, que a menudo se presenta como una actualización o instalador de software legítimo. El proceso suele ser el siguiente:
- Tácticas de ingeniería social: El usuario recibe un correo electrónico, a menudo camuflado como una comunicación oficial de Adobe u otra empresa de confianza. El correo electrónico lo anima a descargar una actualización o a hacer clic en un enlace que lleva a un sitio web aparentemente inofensivo. Descarga maliciosa: Una vez que el usuario interactúa con el correo electrónico o el sitio web, el malware se descarga y ejecuta silenciosamente. Este malware suele hacerse pasar por un archivo legítimo, como una actualización de Adobe Reader, para evitar sospechas.
- Explotación de vulnerabilidades: Tras ejecutarse, el archivo malicioso intenta explotar vulnerabilidades de macOS para escalar sus privilegios, eludir funciones de seguridad como Gatekeeper y obtener mayor acceso al sistema. Estas vulnerabilidades pueden incluir fallos en el modelo de seguridad del sistema operativo, bibliotecas del sistema obsoletas o vulnerabilidades en los entornos aislados de las aplicaciones. Entrega de cargas maliciosas: Tras infiltrarse con éxito en el sistema, el malware puede instalar diversas cargas dañinas. Estas pueden incluir keyloggers, puertas traseras, spyware o ransomware. En algunos casos, el malware también puede descargar componentes maliciosos adicionales, lo que permite a los ciberdelincuentes mantener el control del sistema comprometido.
- Persistencia: El malware suele emplear técnicas para garantizar su actividad incluso después de que el usuario reinicie el dispositivo. Esta persistencia dificulta su eliminación por medios tradicionales.
- Robo de datos y acceso remoto: Una vez establecido, el malware puede comenzar a extraer datos confidenciales, como credenciales de inicio de sesión, información financiera y archivos personales. Además, los ciberdelincuentes pueden usar el malware para controlar remotamente el dispositivo infectado, utilizándolo potencialmente para realizar nuevos ataques o para lanzar ataques contra otros dispositivos conectados a la misma red.
Los riesgos de seguridad para los usuarios de macOS por infección del malware ReaderUpdate
Si bien macOS se ha considerado durante mucho tiempo una plataforma más segura que Windows, no es inmune a los ataques de malware. El auge de variantes de «ReaderUpdate» dirigidas específicamente a macOS demuestra que los ciberdelincuentes están perfeccionando sus tácticas para explotar las vulnerabilidades únicas de los sistemas macOS. Los riesgos de seguridad asociados con este malware pueden ser graves, entre ellos:
- Robo de datos: La principal preocupación con este tipo de malware es el robo de datos personales confidenciales, como contraseñas, información financiera y secretos comerciales. Una vez comprometidos, los usuarios pueden, sin saberlo, exponer su información privada a ciberdelincuentes.
- Ransomware: Si el malware distribuye una carga útil de ransomware, el usuario podría perder el acceso a sus archivos hasta que se pague el rescate. Esto puede causar interrupciones significativas, especialmente para las empresas que dependen de sus datos para operar. Control y vigilancia remotos: En algunos casos, el malware puede proporcionar a los atacantes control remoto del equipo infectado. Esto puede utilizarse para realizar nuevos ataques, espiar al usuario o incluso usar el dispositivo para operaciones de botnets.
- Vulnerabilidades de red: Si un dispositivo macOS se ve comprometido, puede servir como puerta de entrada para que los atacantes se infiltren en otros dispositivos de la misma red. Esto es especialmente peligroso en entornos empresariales con varios sistemas conectados.
Cómo proteger macOS del malware ReaderUpdate
Para protegerse contra el malware «ReaderUpdate» y otras amenazas similares, los usuarios de macOS deben adoptar un enfoque de ciberseguridad multicapa. Estos son algunos pasos esenciales:
- Mantenga el software actualizado: Actualice macOS y todas las aplicaciones instaladas periódicamente para asegurarse de que se corrijan las vulnerabilidades conocidas. Apple publica actualizaciones de seguridad con frecuencia para abordar las amenazas recién descubiertas.
- Tenga cuidado con los correos electrónicos y enlaces: Evite hacer clic en enlaces sospechosos o descargar archivos adjuntos de correos electrónicos no solicitados. Verifique siempre la fuente de cualquier comunicación, especialmente si se trata de actualizaciones de software o solicitudes de información personal.
- Activar las funciones de seguridad de macOS: macOS incluye varias funciones de seguridad integradas, como Gatekeeper (que garantiza que solo se instale software de confianza) y XProtect (el sistema de detección de malware de Apple). Asegúrate de que estas funciones estén activadas.
- Copias de seguridad periódicas: Realice copias de seguridad periódicas de sus archivos importantes en una unidad externa o un servicio en la nube. Esto garantiza que, incluso en caso de un ataque de malware, los datos críticos se puedan restaurar sin pagar un rescate. Monitorea la actividad del sistema: Vigila el rendimiento del sistema y la actividad de la red. Si tu dispositivo macOS funciona inusualmente lento o si el tráfico de red aumenta inesperadamente, podría indicar la presencia de malware.
Conclusión del análisis de ReaderUpdate
“A lo largo del binario, los desarrolladores ofuscan muchas de las cadenas, incluida la URL de C2 y el contenido de la lista de propiedades, utilizando funciones que ensamblan caracteres en la pila o ejecutan algún algoritmo simple de sustitución de caracteres”, se lee en el informe.
Mientras que las variantes Nim, Crystal y Rust están muy extendidas, la versión Go es más rara, con sólo nueve muestras observadas, vinculadas a siete dominios vinculados a una infraestructura de malware más amplia.
ReaderUpdate es una campaña generalizada que utiliza binarios escritos en una variedad de idiomas de origen diferentes, cada uno que contiene sus propios desafíos únicos para la detección y el análisis. Curiosamente, esta plataforma de clasificación ha estado infectando silenciosamente a las víctimas a través de viejas infecciones que pasaron en gran medida desapercibidas debido a que el malware permanece inactivo o entregando poco más que adware.
Sin embargo, cuando se ven comprometidos, los hosts siguen siendo vulnerables a la entrega de cualquier carga útil que los operadores decidan entregar, ya sea propia o vendida como pago por instalación o malware como servicio en mercados clandestinos.
