Parece que los piratas informáticos de Corea del Norte están de vuelta con otro malware para macOS, que circula a través de una aplicación de visualización de PDF.
La empresa de seguridad Jamf detectada(Se abre en una nueva ventana) el malware, denominado «RustBucket», llega a través de una aplicación llamada «Internal PDF Viewer». La aplicación en sí funciona como un visor de PDF en funcionamiento. Curiosamente, solo intentará infectar la Mac con el ataque completo si ejecuta el archivo PDF correcto, probablemente como una forma de evitar que los investigadores de seguridad y el software antivirus lo descubran.
(Crédito: Jamf)
Jamf descubrió uno de los archivos PDF correctos, titulado «InvestmentStrategy(Protected).pdf». Si se abre con el visor de PDF malicioso, el usuario encontrará un documento de 9 páginas sobre una empresa de capital de riesgo que busca invertir en diferentes nuevas empresas tecnológicas.
(Crédito: Jamf)
Por lo tanto, es probable que los piratas informáticos se dirijan a las víctimas a través de mensajes de phishing sobre oportunidades de inversión. Pero en realidad, el visor de PDF malicioso comenzará a comunicarse en secreto con un servidor controlado por piratas informáticos una vez que lea el archivo PDF correcto. A continuación, puede descargar una nueva carga útil maliciosa de 11,2 MB de tamaño que incluye código para atacar Mac basados en Arm e Intel.
“Después de la ejecución inicial, realiza un puñado de comandos de reconocimiento del sistema”, dijo Jamf en el informe. “Dentro de este módulo está la capacidad de ver la información básica sobre el sistema, la lista de procesos, la hora actual y si se está ejecutando o no dentro de un [virtual machine].»
El servidor controlado por piratas informáticos puede dirigir el malware para que descargue y ejecute cargas útiles maliciosas adicionales en la Mac.
(Crédito: Jamf)
La buena noticia es que la aplicación en sí no está firmada y solo se ejecutará si el usuario anula manualmente el Gatekeeper integrado de Apple.(Se abre en una nueva ventana) salvaguarda, que le advertirá automáticamente sobre la ejecución de programas de software no confiables descargados de Internet.
Jamf también notó que el malware comparte similitudes técnicas con otros ataques vinculados a “BlueNoroff”, un subgrupo que trabaja bajo el grupo de piratería norcoreano Lazarus, quizás más conocido por la violación de Sony Pictures en 2014.
Recomendado por Nuestros Editores
Desde entonces, se ha encontrado que Lazarus se enfoca en piratear empresas financieras y de criptomonedas a través de malware para Windows y macOS, generalmente en ataques dirigidos. En 2018, los investigadores de seguridad de Kaspersky descubrieron a los piratas informáticos de Corea del Norte que infectaban dispositivos macOS con malware por primera vez.
Jamf agregó: «El malware utilizado aquí muestra que a medida que macOS crece en participación de mercado, los atacantes se dan cuenta de que varias víctimas serán inmunes si sus herramientas no se actualizan para incluir el ecosistema de Apple».
De hecho, la notoria banda Lockbit también ha sido detectada desarrollando un nuevo ataque de ransomware capaz de infectar dispositivos macOS.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.