¡Los usuarios de Mac son el objetivo!


RHC Dark Lab: 1 de julio de 2024 16:37

En los últimos meses, los usuarios de Mac han sido blanco de una nueva ola de ciberataques a través de campañas de publicidad maliciosa. La última amenaza, denominada “Poseidón” por su creador, fue revelada el 24 de junio y aprovecha Google ADV para difundir un ladrón de información. Un informe reciente de MalwareBytes Lab describe esta campaña como el segundo intento de utilizar el navegador Arc como cebo debido a su creciente popularidad.

Poseidon es un malware en curso para MacOS diseñado para competir con Atomic Stealer (AMOS). Este ladrón de información en particular comparte muchas de las características de AMOS, incluidos métodos de extracción, billeteras criptográficas y robo de contraseñas de software como Bitwarden y KeePassXC. Originalmente identificado por MalwareBytes como OSX.RodStealer, el autor Rodrigo4 le cambió el nombre y agregó nuevas características como la extracción de configuración de VPN.

Rodrigo4 crea un servicio de malware que incluye un panel de control con estadísticas y un generador de personalización que permite personalizar el ícono, el nombre del malware y AppleScript. Poseidon ofrece una amplia gama de funciones avanzadas, lo que lo convierte en una gran amenaza. En los foros de ciberdelincuencia, Poseidon se describe como un competidor directo de Atomic Stealer.

Admite viajes cibernéticos al rojo vivo

Las campañas de publicidad maliciosa que difunden ladrones de información se llevan a cabo a través de Google ADV y redirigen a los usuarios a sitios de descarga falsos (como arc-download).[.]com). Este sitio web imita el sitio web oficial de Arc.

Se engaña a los usuarios para que descarguen DMG maliciosos que parecen legítimos y eluden las medidas de seguridad de MacOS. Este DMG requiere una instalación con un solo clic derecho en lugar del doble clic tradicional. Una vez instalado, Poseidon comenzará a capturar datos confidenciales y a enviarlos a un servidor remoto. La dirección IP conocida es 79.137.192.4. Esta dirección alberga un panel de control donde los delincuentes pueden administrar y utilizar los datos robados.

El ascenso de Poseidon tras una campaña similar que afectó a una versión falsa de Arc para el sistema operativo Windows pone de relieve su creciente experiencia en amenazas digitales. Este malware está inteligentemente diseñado para robar la mayor cantidad de datos posible y todos los usuarios de Mac deberían considerarlo como una amenaza grave.

Los acontecimientos recientes indican que Poseidon no es la última amenaza para el ecosistema de Apple, lo que aumenta el interés en LockBit RaaS para arquitecturas de Apple como M1 y M2. Incluso si las muestras analizadas demuestran que la amenaza está en etapa de desarrollo, los expertos están preocupados por la seguridad de los terminales MacOS. Aunque el malware para MacOS todavía es imperfecto (por ejemplo, falta la firma de Apple, cifrado de cadenas básicas), estas variantes permiten a APT como LockBit mantener su cuota de mercado criminal de manera muy competitiva.

La situación actual muestra que las amenazas están diversificando sus objetivos, destacando la importancia crítica de adoptar medidas de seguridad adecuadas y prestar atención a todos los sistemas operativos y dispositivos utilizados.

Este malware y su campaña demuestran que los ciberdelincuentes están aprovechando la popularidad del nuevo software para difundir ataques a una gama más amplia de usuarios. A pesar de los esfuerzos de Google por proteger la plataforma ADV del uso malicioso, los delincuentes continúan creando sitios web falsos con éxito. MalwareBytes recomienda encarecidamente utilizar bloqueadores de publicidad, protección web avanzada y tener siempre precaución al descargar nuevas aplicaciones.

186.2.171.60agov-ch[.]acceso comagov[.]acceso netagov[.]comregister-agov[.]komagov-ch[.]neto bb8911f632a4547802a8dbb40268e1bd186.2.171.60agov-ch[.]acceso comagov[.]acceso netagov[.]comregister-agov[.]komagov-ch[.]netMD5: bb8911f632a4547802a8dbb40268e1bdRHC laboratorio oscuro
RHC Dark Lab es un grupo de expertos de la comunidad Red Hot Cyber ​​dedicados a la inteligencia sobre amenazas cibernéticas, liderado por Pietro Melillo. El grupo incluye a Sandro Sana, Alessio Stefan, Raffaela Crisci y Vincenzo Di Lello. Su misión es difundir el conocimiento sobre las ciberamenazas y mejorar la conciencia nacional y la defensa digital. En este campo participan no sólo los expertos sino también la gente corriente. El objetivo es popularizar el concepto de inteligencia sobre amenazas cibernéticas para predecir amenazas.



Fuente: https://www.redhotcyber.com/en/post/cybercriminals-exploit-arc-popularity-to-spread-poseidon-malware-mac-users-are-the-target/