Un grupo de investigadores ha identificado un nuevo malware dirigido a los usuarios con ordenadores MacOS, capaz de robar archivos mediante una puerta trasera que se distribuye haciéndose pasar por una actualización del programa de código de Microsoft Visual Studio.
Así lo ha detallado un grupo de investigadores de la compañía de ciberseguridad Bitdefender, que aseguran que se trata de una nueva puerta trasera que pertenece a una familia de malware que “no había sido documentada anteriormente” y que muestra un posible vínculo con un grupo de ransomware de Windows.
MIRA: Apple elimina una aplicación fraudulenta del gestor LastPass en la App Store
En este marco, según han detallado en un comunicado en su web, esta puerta trasera, a la que se refieren como Trojan.MAC.RustDoor, está dirigida a los usuarios de MacOS y escrita en Rust, un lenguaje de programación “relativamente nuevo” en el ecosistema de malware que ofrece a los ciberdelincuentes ventajas a la hora de evadir la detección y análisis del ataque.
Concretamente, tal y como han podido comprobar, el malware puede utilizarse para robar archivos o tipos de archivos específicos, así como para archivarlos y subirlos al centro de mando y control (C&C), de manera que los actores maliciosos puedan acceder a ellos.
Además, según los investigadores, se trata de una campaña que lleva activa desde, por lo menos, noviembre del pasado año. La última muestra del malware encontrada tiene fecha del día 2 de este mes, lo que indica que “ha estado funcionando sin ser detectado durante al menos tres meses”.
Así, para distribuirse, este malware suplanta una actualización del programa Visual Studio de Microsoft. De hecho, algunas muestras identificadas disponen de nombres como ‘VisualStudioUpdater’, ‘VisualStudioUpdater_Patch’, ‘VisualStudioUpdating’ y ‘visualstudioupdate’. Sin embargo, también se han encontrado otras muestras de este malware con el nombre ‘DO_NOT_RUN_ChromeUpdates’ o ‘zshrc2′.
MIRA: Una web de ‘deepfake’ puede crear hasta 20.000 DNI falsos diarios para la compraventa de criptomonedas
Igualmente, todos los archivos se muestran como FAT binarios, es decir, que se pueden ejecutar en múltiples tipos de procesadores, en este caso, para arquitecturas basadas en Intel (x86_64) y ARM (Apple Silicon).
Dentro de las distintas versiones que los investigadores han ido identificando en la campaña de este malware, se han encontrado comandos como ‘shell’, ‘cd’, ‘sleep’, ‘upload’, ‘taskkill’ o ‘dialog’, con los que los ciberdelincuentes pueden recopilar y cargar archivos, así como obtener información sobre el propio dispositivo en el que se está llevando a cabo.
Tal y como han explicado, en concreto, el comando ‘sysctl’ junto con los comandos ‘pwd’ y ‘hostname’ envían al punto final de registro del servidor de infraestructura de mando y control -esto es, servidores que controlan la información, la centralizan y realizan las acciones necesarias- un archivo Victim ID, que, posteriormente, se utiliza en “el resto de la comunicación entre C&C y la puerta trasera”.
Con todo ello, desde Bitdefender han señalado que, por el momento, esta campaña de malware no se puede atribuir a ningún actor de amenazas conocido. Sin embargo, han observado similitudes con el ‘ransomware’ ALPHV/BlackCat, que también utiliza el lenguaje de programación Rust y “dominios comunes”, como los servidores de infraestructura de mando y control.
De hecho, han puntualizado que tres de los cuatro servidores de mando y control utilizados en este malware, se han asociado con campañas previas de ransomware dirigidas a clientes de Windows.