Más problemas llegan a MacOS Sierra y la seguridad: se ha descubierto un malware en mac que intenta utilizar una macro de ejecución automática, que intenta descargar una carga peligrosa para infectar el Mac.
El otro día, os hacíamos eco de la «visita» de un posible ataque D.o.S alertados por MalwareBytes Labs.
El archivo de Word, titulado «U.S. Allies and Rivals Digest Trump’s Victory – Carnegie Endowment for International Peace» se anota en la investigación compilada por Objective-See para mostrar una advertencia habitual de macro de Word cuando se intenta abrirla por víctimas potenciales. El aviso advierte que las macros podrían contener virus y le da la opción de continuar abriendo el archivo con y sin macros habilitadas, así como de volver a abrirlo.
Si se ejecuta con macros activadas, la macro automática comienza a ejecutar la secuencia de comandos python, que primero comprueba si la herramienta de supervisión de red Little Snitch se está ejecutando, antes de intentar descargar una carga útil de segunda etapa desde una URL específica, descifrar la carga útil y luego ejecutar su contenido . El código python se obtiene del proyecto de código abierto EmPyre, un marco de post-explotación existente, con el código utilizado «casi literalmente».
Estos módulos ofrecen una multitud de opciones para que los atacantes adquieran datos, incluyendo keyloggers, volcados de llaveros, monitorización de portapapeles, captura de pantallas, acceso a iMessage e incluso una cámara web conectada.
El malware «no es particularmente avanzado», sugiere el investigador de seguridad Patrick Wardle de Synack, debido a la necesidad de interacción de los usuarios para abrir el documento y la necesidad de macros para ser habilitado. Los creadores del archivo reciben algún crédito de Wardle, explotando a los usuarios como «el eslabón más débil» en seguridad, aprovechando al mismo tiempo la funcionalidad «legítima» de las macros, convirtiéndolo en un vector de infección que «no tiene que preocuparse por bloquearse el sistema»
De todos modos, Patrick Wardle nos avisa que: «El malware incrustado en los documentos es una técnica de infección relativamente antigua, que afecta en gran medida a los usuarios de Windows en lugar de a Mac, ya pesar de depender en gran medida de que el usuario no tenga en cuenta el aviso inicial, ha encontrado algún éxito en el pasado».
Este documento de Word infectado llega a la vez que otro malware: MacDownloader, creado por hackers iraníes que usaban un sitio web falso con una actualización falsa de Adobe Flash, para tratar de atacar a los miembros de la defensa estadounidense y defensores de los derechos humanos.