Detección de Malware en macOS: Nueva Cepa Maliciosa que Roba Credenciales de Usuario de iCloud KeyChain

¡Atención! Un nuevo ladrón de información está causando sensación en el ámbito de las amenazas cibernéticas enfocándose en usuarios de macOS. Investigadores de ciberseguridad han observado un nuevo malware MacStealer para macOS que roba credenciales de usuario y otros datos sensibles almacenados en iCloud KeyChain, navegadores web y carteras de criptomonedas.

Detección del malware MacStealer para MacOS

Siendo otro malware para robar información que aparece en el ámbito delictivo cibernético en el último mes, MacStealer gana popularidad en los foros clandestinos por su precio relativamente bajo y sus amplias capacidades maliciosas. Para mejorar las protecciones de seguridad contra nuevas cepas de malware, los profesionales de seguridad necesitan una fuente confiable de contenido de detección para identificar posibles ataques en las primeras etapas de desarrollo.

La plataforma Detection as Code de SOC Prime ofrece una regla Sigma dedicada por nuestro experimentado desarrollador de Threat Bounty Mustafa Gurkan KARAKAYA para detectar posibles infecciones de MacStealer.

Tráfico web de exfiltración sospechoso del malware MacStealer (a través de proxy)

La regla anterior detecta solicitudes POST realizadas por el malware MacStealer a rutas URI conocidas por estar asociadas con servidores de Comando y Control utilizados por MacStealer para la exfiltración de archivos zip de datos robados. La detección es compatible con 18 plataformas SIEM, EDR y XDR y está mapeada al marco MITRE ATT&CK® v12 abarcando tácticas de Exfiltración, con Exfiltración Sobre Canal C2 (T1041) como técnica principal.

Los cazadores de amenazas e ingenieros de detección ansiosos por perfeccionar sus habilidades en Sigma y ATT&CK y ayudar a otros a defenderse contra amenazas emergentes pueden acceder al programa de recompensas de amenazas de SOC Prime Programa de recompensas de amenazas. Al unirse a esta iniciativa de colaboración, los expertos en ciberseguridad pueden escribir sus propias reglas Sigma mapeadas a ATT&CK, compartirlas con la comunidad global de defensores cibernéticos y recibir pagos recurrentes por sus contribuciones.

Para acceder instantáneamente a un conjunto de reglas Sigma que detectan familias de malware que roban información, pulsa el botón Explorar Detecciones a continuación. Profundiza en el contexto integral de las amenazas cibernéticas, incluidas las referencias de MITRE ATT&CK, inteligencia de amenazas, binarios ejecutables y mitigaciones para una investigación de amenazas optimizada.

Explorar Detecciones

Análisis de la cadena de ataques de MacStealer

Los investigadores de seguridad observan un número creciente de acuerdos de malware como servicio (MaaS) basados en este modelo de ingresos, con actores de amenazas enriqueciendo su kit de herramientas de adversario y mejorando las capacidades ofensivas. El modelo de ingresos MaaS ha ganado impulso en los últimos años, contribuyendo a la distribución masiva de diferentes cepas de malware, como malware Eternity and RedLine Stealer.

En marzo de 2023, otro malware para robar información llamado MacStealer y distribuido utilizando el modelo MaaS llegó al ámbito de las amenazas cibernéticas. El malware MacStealer para macOS puede captar contraseñas de usuario, cookies y detalles de tarjetas de crédito de navegadores web populares y la base de datos de iCloud KeyChain, así como extraer múltiples tipos de archivos para robar datos sensibles.

Según el informe de investigadores de ciberseguridad de Uptycs quienes revelaron la nueva cepa de malware, el malware para robar información MacStealer puede afectar a macOS Catalina y versiones sucesivas de software que se ejecutan en CPUs Intel M1 y M2.

Los actores de amenazas distribuyen MacStealer a través de un archivo .dmg. Una vez ejecutado, este último aplica un mensaje de contraseña fraudulento para recopilar credenciales de usuario aprovechando una operación específica de la línea de comandos. Tan pronto como la víctima proporciona sus credenciales de inicio de sesión, MacStealer roba los datos comprometidos y los almacena en el directorio del sistema. Después de archivar los datos robados del usuario, el malware los envía al servidor C2 utilizando una solicitud POST y luego elimina los datos junto con el archivo ZIP correspondiente. El servidor C2 remoto también comparte el archivo ZIP con el bot de Telegram preconfigurado utilizado por los hackers, permitiéndoles exfiltrar los datos obtenidos del sistema comprometido.

Con el creciente volumen de cepas de malware distribuidas por el modelo MaaS que apuntan a usuarios de Windows, Linux y macOS, los defensores cibernéticos buscan contenido de detección relevante que pueda estar disponible de inmediato y aplicarse a múltiples soluciones de seguridad, ayudando a las organizaciones a superar los desafíos de migración de SIEM. El enfoque agnóstico de la plataforma de SOC Prime y la capacidad multicloud permiten a los equipos de seguridad reducir el tiempo de desarrollo y optimizar los costos de migración aprovechando Uncoder AI, la herramienta asistida por IA para la ingeniería de detección avanzada. Desata el poder de la IA para escribir código de detección impecable y convertirlo en más de 27 soluciones SIEM, EDR y XDR al instante.