Ciberdelincuentes Usan Python Para Atacar Windows y Mac Simultáneamente
TL;DR
Ciberdelincuentes están ampliando sus operaciones para atacar a usuarios de macOS, el sistema operativo de Apple, además de Windows. Utilizando el lenguaje de programación Python, que es multiplataforma, estos ataques se vuelven más eficientes y abarcadores.
Ciberdelincuentes están ampliando sus operaciones para atacar a usuarios de macOS, el sistema operativo de Apple, además de Windows. Utilizando el lenguaje de programación Python, que es multiplataforma, estos ataques se vuelven más eficientes y abarcadores.
Microsoft observa que el uso de Python permite a los atacantes "reanudar códigos y alcanzar entornos heterogéneos con la mínima sobrecarga", lo que ahorra tiempo y maximiza el impacto de los ataques.
Python, por su naturaleza, permite que los criminales desarrollen malwares que operan en diversos sistemas operativos sin grandes modificaciones. Así, un programa malicioso puede ser rápidamente adaptado tanto para Windows como para macOS.
Este cambio en el panorama de los ataques es significativo, ya que el macOS históricamente presentaba una percepción de seguridad superior, llevando a muchos usuarios a una falsa sensación de protección.
ClickFix Transformó el Escenario
El punto de entrada más común en estos ataques es la técnica de malvertising, en la que anuncios maliciosos se muestran en plataformas de búsqueda como Google Ads. Estos anuncios se disfrazan de legítimos y tienen como objetivo a usuarios en busca de aplicaciones populares.
Cuando una víctima hace clic en un anuncio aparentemente legítimo, es redirigida a un sitio falso que imita al original. En estos sitios, se ofrecen instrucciones que prometen resolver problemas técnicos o proporcionar descargas de software.
La técnica ClickFix se utiliza, incluyendo comandos que llevan a la víctima a copiar y pegar instrucciones en el Terminal del macOS. El Terminal es una interfaz que permite la ejecución de comandos directamente en el sistema, pudiendo conceder permisos elevados al malware.
Extracción de Datos como Objetivo Principal
Los archivos maliciosos generalmente son instaladores en formato DMG, específicos del macOS, similares a los archivos ejecutables .exe de Windows. Este malware está diseñado para robar información de la víctima.
Entre las variantes conocidas de malware están el Atomic macOS Stealer, MacSync y DigitStealer, todas con el objetivo común de extraer datos valiosos.
Estos ataques se destacan por la sofisticación, utilizando funcionalidades legítimas del macOS para operar sin la grabación de archivos en el disco duro, dificultando la detección. Los criminales explotan utilidades nativas y el lenguaje de automatización AppleScript, dificultando la identificación por antivirus.
El malware busca credenciales de navegadores, como contraseñas guardadas, además de información del iCloud Keychain, que centraliza las credenciales almacenadas.
Persistencia del Malware en el Sistema
Una vez instalado, el malware busca garantizar su presencia en el sistema. En el macOS, esto puede realizarse mediante la modificación de listas de propiedades (plists) o mediante la creación de agentes de lanzamiento, funcionando como una analogía a las claves de registro de Windows.
La comunicación entre el malware y los criminales se lleva a cabo a través de canales disfrazados, como la aplicación de mensajería Telegram, utilizada para control remoto y envío de datos robados.
WhatsApp Como Vector de Distribución
Microsoft alerta sobre campañas que utilizan WhatsApp para diseminar malware, como el Eternidad Stealer, donde mensajes de contactos conocidos o grupos contienen enlaces que instalan el malware.
Este método es eficaz, ya que la confianza en mensajes de WhatsApp disminuye la desconfianza del usuario. Otro vector implica editores de PDF falsos que, a través de SEO envenenado, aparecen en búsquedas como "editor de PDF gratuito".
Al instalar estas herramientas, la víctima activa un infostealer que recopila datos de los navegadores instalados.
Consecuencias Para Usuarios y Empresas
Los impactos de los ataques se extienden más allá del robo de contraseñas. El acceso a credenciales corporativas implica riesgos para la seguridad de información sensible y acceso a sistemas empresariales, pudiendo resultar en fraudes financieras y ataques de ransomware.
Medidas de Protección
Microsoft recomienda diversas prácticas de seguridad para minimizar riesgos:
- La educación sobre cómo funcionan los anuncios maliciosos y la desconfianza con respecto a mensajes y descargas sospechosas;
- La monitorización de actividades en el Terminal, que puede señalar un compromiso;
- El seguimiento de accesos al iCloud Keychain, evitando accesos no autorizados;
- El análisis de tráfico de red en busca de peticiones sospechosas que indiquen exfiltración de datos.
Contenido seleccionado y editado con asistencia de IA. Fuentes originales referenciadas arriba.
