Detectaron un malware que roba información a los usuarios de MacOS. Los cibercriminales pueden acceder al código malicioso, que se comercializa en la Darkent, por 49 dólares.
Así adquieren licencias para usar este malware que permite obtener credenciales de inicio de sesión, tomar capturas de pantalla, registrar las pulsaciones de teclado y ejecutar archivos maliciosos, según informó la compañía de ciberseguridad Check Point Research (CPR)
Este malware que fue bautizado como Clonador proviene de la familia de malware Formbook, dirigido principalmente a los usuarios de Windows, pero que desapareció de la venta en 2018. Formbook se rebautizó como XLoader en 2020.
Durante los últimos seis meses, CPR ha estudiado las actividades de XLoader y concluyó que no se dirige solo a usuarios Windows, sino también a usuarios de Mac.
Cómo es el ataque
Se engaña a las víctimas para que se descarguen la cepa de malware. El engaño se hace a través de correos con documentos maliciosos, usualmente de Office, que se instan a los usuarios a descargar. Se estima que es una amenaza potencial para todos los usuarios de Mac que, se estima son más de 100 millones.
Según la investigación realizada entre el 1 de diciembre de 2020 y el 1 de junio de 2021, se identificaron solicitudes de XLoader provenientes de 69 países. Más de la mitad (53%) de las víctimas residen en Estados Unidos. También se identificaron víctimas en Alemania, México, Rusia, Francia y otros países.
“La verdad es que el malware para MacOS es cada vez más frecuente y peligroso. Nuestros hallazgos recientes son un ejemplo perfecto que confirman esta tendencia. Con la creciente popularidad de las plataformas MacOS, tiene sentido que los ciberdelincuentes muestren más interés y personalmente preveo que veremos más ciberamenazas siguiendo la familia de malware Formbook ”, destacó Yaniv Balmas, jefe de Investigación Cibernética de la compañía.
Cómo cuidarse
En primera medida es importante tener siempre el software actualizado para tener los parches de seguridad al día
No abrir archivos adjuntos que resulten sospechosos Evitar ingresar a sitios web cuyo enlace llega por invitación, aun cuando el destino sea algún usuario conocido porque éste también podría haber sido víctima de algún engaño
Utilizar alguna solución de seguridad para proteger los equipos. En caso de que se sospeche de que el equipo pueda estar infectado con este malware, entonces contactar con un técnico de confianza para que evalúe la situación.
Quienes cuenten con algunos conocimientos técnicos pueden realizar los siguientes pasos recomendados desde CPR:
- Ir a Autorun y comprobar el nombre de usuario en el sistema operativo.
- Dirigirse al directorio / Users / [nombre de usuario] / Librería / LaunchAgents.
- Comprobar si hay nombres de archivo sospechosos en este directorio como, por ejemplo se muestra a continuación (se usó un ejemplo aleatorio sólo a modo ilustrativo) /Usuarios/usuario/Biblioteca/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist
- Eliminar el archivo sospechoso.
Por Infobae