Los ciberdelincuentes están corrompiendo las aplicaciones de Mac en el recurso, envenenando, si no son benignas, las tareas de recursos abiertos con malware que tiene dos exploits de día cero nunca antes vistos.
Cuando ejecuta las aplicaciones contaminadas, es posible que lo dirijan a sitios web dañinos, ajusten las direcciones en sus billeteras de criptomonedas, obtengan capturas de pantalla de lo que podría estar viendo o roben sus tarjetas de historial de crédito.
El malware también reemplaza a Safari con un modelo destructivo del navegador de Apple, infecta todos los demás navegadores clave, roba los nombres de usuario y contraseñas de Google, ID de Apple y PayPal, roba información de Skype, Telegram, Evernote y WeChat, e incluso puede instalar ransomware.
Para protegerse, asegúrese de estar utilizando uno de los mejores programas antivirus para Mac, ya que las defensas integradas de Apple pueden no estar preparadas para capturar el malware.
El fabricante de antivirus Craze Micro, cuyos investigadores descubrieron el malware, lo llama “una brecha de conejo de cargas útiles destructivas” en un artículo del sitio web la semana pasada.
masacre del navegador
Después de que el malware, que el teléfono Craze Micro llama XCSSET, está en plena presión, perfila el proceso e infecta cualquier variación de los navegadores Courageous, Firefox, Opera, 360 y Yandex que puedan estar instaladas. Si se monta Google Chrome, el malware lo reemplaza con un modelo más maduro de Chrome que tiene una seguridad más débil.
Lo cual es prácticamente nada si lo comparamos con lo que hace Safari, por otro lado. El malware descarga e instala una versión destructiva de Safari y se asegurará de que cualquier enlace unidireccional interno al Safari original vaya al falso en su lugar.
“Funcionalmente, esto generalmente significa que el falso navegador Safari se ejecuta en lugar de la versión legítima de Safari”, afirma un documento técnico de Craze Micro sobre el malware XCSSET.
Tanto, Craze Micro ha visto que XCSSET infecta solo dos tareas de suministro abierto de Mac, solo una de India y la otra de China. No ha visto que infecte ninguna aplicación de iOS, aunque eso sin duda sería factible.
Realmente se llevó a cabo antes de
Si esto parece familiar, realmente se supo antes. En 2015, se dispersó en China una edición destructiva de la plataforma de crecimiento Xcode de Apple. El resultado final fue que cualquier aplicación Mac o iOS establecida con la versión corrupta de Xcode se corrompió por sí sola. Apple rápidamente eliminó las aplicaciones contaminadas de sus minoristas de aplicaciones.
Entonces, ¿cómo está sucediendo todo de nuevo? Esta vez, los ladrones están yendo un poco más allá. En lugar de atacar a Xcode en sí mismo, están investigando repositorios de código en línea como GitHub, donde docenas o cientos de desarrolladores que realmente no se conocen entre sí pueden usar Xcode para colaborar en un único recurso abierto. tarea.
“El código destructivo se inyecta en las iniciativas locales de Xcode para que, cuando se crea la tarea, se ejecute el código malicioso”, dijo Craze Micro.
Dado que los desarrolladores de software de computadora sin darse cuenta lanzan las aplicaciones con sus propias firmas aprobadas, las aplicaciones infectadas generalmente no serán detenidas por las propias medidas de seguridad integradas de Apple.
“Los métodos para verificar el archivo disperso (como el análisis de hashes) no ayudarían, ya que los desarrolladores no se darían cuenta de que están distribuyendo documentos destructivos”, agregó Trend Micro.
