Inicio Tecnología La aplicación de portapapeles de macOS Maccy tiene una falsificación que roba...

La aplicación de portapapeles de macOS Maccy tiene una falsificación que roba contraseñas

37
0

Se está utilizando una versión falsa de Maccy, un common administrador de portapapeles para macOS, para entregar una variedad de malware para Mac recientemente descubierta llamada PamStealer. Investigadores de Jamf Digamos que el malware se hace pasar por la aplicación actual de código abierto, pero su propósito actual es robar datos y capturar la contraseña de inicio de sesión de la víctima.

PamStealer llega como una imagen de disco que contiene un archivo AppleScript que se hace pasar por Maccy. Una vez que el usuario abre ese archivo, macOS lo inicia en Script Editor, donde las instrucciones en pantalla le indican que presione Comando-R. Para alguien que espera un instalador de aplicaciones regular, puede parecer un paso de configuración extraño. En realidad, esa acción ejecuta un código de malware oculto e inicia el ataque.

Un instalador falso inicia el ataque

La primera parte del ataque está diseñada para permanecer en silencio. En lugar de utilizar herramientas comunes de línea de comandos de Mac que los equipos de seguridad suelen observar, los investigadores dicen que el malware utiliza las funciones de automatización propias de Apple para descargar e iniciar la siguiente etapa.

Luego, la carga útil se esconde dentro de paquetes de aplicaciones que pretenden ser componentes reales de macOS. Jamf encontró muestras que se hacían pasar por Finder o Actualización de software program. Estos componentes falsos se ejecutan en segundo plano y utilizan el icono del Finder de Apple, lo que hace que el ataque sea más convincente.

La solicitud de contraseña es el verdadero peligro

El truco más preocupante de PamStealer es la solicitud de contraseña. El malware muestra un cuadro de diálogo de aspecto nativo de Mac que cube que Maccy quiere realizar cambios y le pide al usuario que ingrese una contraseña. La contraseña se verifica a través del propio sistema de verificación de inicio de sesión de macOS. Si es incorrecto, el mensaje vuelve a aparecer. Una vez que se ingresa la contraseña correcta, el malware la captura y muestra un mensaje falso que cube que Maccy está dañado y no se puede abrir.

Los investigadores también descubrieron que PamStealer puede mirar el portapapeles, registrarse para ejecutarse nuevamente después de iniciar sesión y luego solicitar acceso completo al disco. En las pruebas, ese mensaje a veces aparecía hasta 40 minutos después, lo que hacía más difícil conectar la solicitud con el instalador falso.

maccy’s canales oficiales ahora advierten a los usuarios sobre sitios internet falsos, mientras les señalan maccy.aplicación como el único lugar legítimo para obtener la aplicación.

fonte