Los ataques MetaStealer de macOS se dirigen a usuarios profesionales de Mac

Los ataques MetaStealer de macOS se dirigen a usuarios profesionales de Mac

Los piratas informáticos utilizan el malware llamado «MetaStealer» para atacar empresas y robar datos de Mac con procesador Intel, haciéndose pasar por instaladores de aplicaciones legítimos.

Los ataques de malware contra macOS siguen siendo un problema, siendo los usuarios obligados a abrir ejecutables la principal razón del éxito de los ataques. En un informe que detalla una familia de «ladrones de información» de macOS llamada «MetaStealer», los investigadores de seguridad explican cómo funciona engañando a los usuarios para que abran imágenes de disco.

Según Phil Stokes de SentinelOne, Atacantes MetaStealer están apuntando a empresas ejecutando sistemas macOS. Al hacerse pasar por clientes falsos, las víctimas son engañadas socialmente para que ejecuten cargas útiles maliciosas en sus Mac.

Numerosas muestras proporcionadas a SentinelOne revelan que el archivo de imagen de disco que contiene la carga útil a menudo recibía nombres que serían de interés para los usuarios empresariales. Esto va desde los nombres de las presentaciones, un “Concepto completo de menú A3 con platos y traducciones al inglés” y un “contrato de pago y acuerdo de confidencialidad de Lucasprod”. [sic]a los nombres de instaladores de productos de Adobe como Photoshop.

Dirigirse directamente a usuarios empresariales se cree que es una medida inusual para los usuarios de malware, ya que el malware suele distribuirse de forma masiva, por ejemplo en torrents falsos.

El esfuerzo requerido para completar una instalación también se hace más difícil para los piratas informáticos de varias maneras. Dado que la imagen del disco contiene el mínimo de contenido para existir más allá de la carga útil, el archivo tampoco tiende a incluir una cadena de identificación de desarrollador de Apple, ni utiliza firma de código en absoluto, ni la firma ad hoc.

Esto crea obstáculos adicionales, concretamente que los atacantes deben convencer a la víctima potencial de que evite Gatekeeper y OCSP. Todas las muestras recopiladas son archivos binarios Intel x86_64 de arquitectura única. Entonces, si bien se podrían usar directamente en Mac Intel, tendrían que usar Rosetta para ejecutarse en Apple Silicon Mac.

Si bien los usuarios deben estar atentos y tener cuidado al abrir archivos cuestionables enviados por otros o descargados de fuentes no oficiales, Apple ya ha introducido algunas medidas de protección. Como parte de la actualización XProtect x2170, Apple incluye una firma de detección que afecta a determinadas versiones de MetaStealer.

SentinelOne también ha publicado una lista de indicadores de compromiso, destinada a ser utilizada por equipos de seguridad y TI empresariales, que se detalla a continuación.

Indicadores de compromiso

Gotero MetaStealer

  • AdobeOfficialBriefDescription.dmg 00b92534af61a61923210bfc688c1b2a4fecb1bb
  • Instalador de Adobe Photoshop 2023 (con IA).dmg 51e8eaf98b77105b448f4a0649d8f7c98ac8fc66
  • Términos de referencia publicitarios (presentación MacOS).dmg 4da5241119bf64d9a7ffc2710b3607817c8df2f
  • Póster animado.dmg c2cd344fbcd2d356ab8231d4c0a994df20760e3e
  • CardGame.dmg 5ba3181df053e35011e9ebcc5330034e9e895bfe
  • Contrato de pago y acuerdo de confidencialidad Lucasprod.dmg dec16514cd256613128b93d340467117faca1534
  • FreyaVR 1.6.102.dmg d3fd59bd92ac03bccc11919d25d6bbfc85b440d3
  • Matriz.dmg 3033c05eec7c7b98d175df2badd3378e5233b5a2
  • OfficialBriefDescription.app.zip 345d6077bfb9c55e3d89b32c16e409c508626986
  • P7yersOfficialBriefDescription 1.0.dmg 35bfdb4ad20908ac85d00dcd7389a820f460db51
  • PDF.app.zip aa40f3f71039096830f2931ac5df2724b2c628ab
  • TradingView.dmg e49c078b3c3f696d004f1a85d731cb9ef8c662f1
  • Breve presentación de YoungClass Mac 20OS.zip 3161e6c88a4da5e09193b7aac9aa211a032526b9
  • YoungSUG (referencias de portada, tareas, logotipos, resumen) \ YoungSUG_Official_Brief_Description_LucasProd.dmg 61c3f2f3a7521920ce2db9c9de31d7ce1df9dd44

Comunicaciones de red – IP

  • 13[.]114.196[.]60
  • 13[.]125,88[.]diez

Comunicaciones de red: dominios

  • api.osx-mac[.]com
  • constructor.osx-mac[.]com
  • db.osx-mac[.]com

ID de desarrollador

  • Bourigaultn Nathan (U5F3ZXR58U)

Binarios Mach-O: Intel x86_64

  • 0edd4b81fa931604040d4c13f9571e01618a4c9c
  • 13249e30a9918168e79cdb0f097e4b34fbbd891f
  • 13bcebdb4721746671e0cbffbeed1d6d92a0cf6c
  • 1424f9245a3325c513a09231168d548337ffd698
  • 148bc97ff873276666e0c114d22011ec042fb9b9
  • 15c377eb5a69f93fa833e845d793691a623f928c
  • 166ff1cd47a45e47721bb497b83cc84d8269b308
  • 1b3ce71fa42f4c0c16af1b8436fa43ac57d74ce9
  • 1cc66e194401f2164ff1cbc8c07121475a570d9f
  • 1df31db0f3e5c381ad73488b4b5ac5552326baac
  • 1df8ff1fe464a0d9baaeead3c7158563a60199d4
  • 1e5319969d6a53efc0ec1345414c62c810f95fce
  • 291011119bc2a777b33cc2b8de3d1509ed31b3da
  • 2c567a37c49af5bce4a236be5e060c33835132cf
  • 33a5043f8894a8525eeb2ba5d80aef80b2a85be8
  • 34c7977e20acc8e64139087bd16f0b0a881b044f
  • 3589dd0d01527ca4e8a2ec55159649083b0c50a8
  • 35c3b735949151aae28ebf16d24fb32c8bcd7e6b
  • 35e14d8375f625b04be43019ccb8be57656b15cf
  • 394501f410bd9cb4f4432a32b17348cdde3d4157
  • 47620d2242dfaf14b7766562e812b7778a342a48
  • 57c2302c30955527293ed90bfaf627a4132386fb
  • 65de53298958b4f137c4bd64f31f550dd2199c36
  • 70625f621f91fd6b1a433a52e57474316e0df662
  • 78e8f9a93b56adc8e030403ba5f10f527941f6ae
  • 80c83e659c63c963f55c8add4bf62f9bec73d44e
  • 816fdf1fd9cf9aff2121d1b59c9cca38b5e4eb9d
  • 86eb7c6a4d4bec5abeb6b44e0506ab0d5a96235d
  • 8dfeda030bd3b38592b29d633c40e041d5f3331d
  • 8ec57c1b1b5409cadb99b050c3c41460d4c7fea8
  • 8f211c0ef570382685d024cc8e6e8acd4a137545
  • 90d7f8acf3524fcb58c7d7874a5b6e8194689b1a
  • 92b178817a6c9ad22f10b52e9a35a925a3dc751b
  • a54c9906d41b04b9daf89c2e6eb4fdd54d0eae39
  • a8724eb5f9f8f4607b384154f0c398fce207259e
  • b51d7482d38dd19b2cb1cd303e39f8bddf5452ac
  • bd6b87c6f4f256fb2553627003e8bce58689d1d8
  • bdd4ce8c2622ddcf0888e05690c8b3d1a8c83dae
  • be1ac5ed5dfd295be15ba5ed9fbb69f10c8ec872
  • c37751372bb6c970ab5c447a1043c58ce49e10a5
  • c4d9272ef906c7bf4ccc2a11a7107d6b7071537b
  • c5429b9b4d1a8e147f5918667732049f3bd55676
  • caf4fb1077cea9d75c8ae9d88817e66c870383b5
  • cf467ca23bdb81e008e7333456dfceb1e69e9b8a
  • cfa56e10c8185792f8a9d1e6d9a7512177044a8b
  • d7de135a03a2124c6e0dfa831476e4069ebfba24
  • dbf0983b29a175ebbcf7132089e69b3999adeca7
  • dfd5adb749cbc5608ca915afed826650fcb0ff05
  • e5cfc40d04ea5b1dac2d67f8279c1fd5ecf053f6
  • f6f09ecc920eb694ed91e4ec158a15f1fb09f5dd
  • f93dd5e3504fe79f7fcd64b55145a6197c84caa2
  • f97e22bad439d14c053966193fdfdec60b68b786
  • fce7a0c00bfed23d6d70b57395e2ec072c456cba

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *