Un grupo de investigadores identificó un nuevo malware dirigido a los usuarios con ordenadores MacOS, capaz de robar archivos mediante una puerta trasera que se distribuye, al hacerse pasar por una actualización del programa de código de Microsoft Visual Studio.

Así lo detalla un grupo de investigadores de la compañía de ciberseguridad Bitdefender, y advierten que se trata de una nueva puerta trasera que pertenece a una familia de 'malware' que "no había sido documentada anteriormente" y que muestra un posible vínculo con un grupo de ransomware de Windows.

Ciberseguridad: cómo ataca el nuevo malware

En este contexto, según detallaron en un comunicado en su web, esta puerta trasera, a la que se refieren como Trojan.MAC.RustDoor, está dirigida a los usuarios de MacOS y escrita en Rust, un lenguaje de programación "relativamente nuevo" en el ecosistema de 'malware' que ofrece a los ciberdelincuentes ventajas a la hora de evadir la detección y análisis del ataque.

Concretamente, tal y como han podido comprobar, el malware puede utilizarse para robar archivos o tipos de archivos específicos, así como para archivarlos y subirlos al centro de mando y control (C&C), de manera que los actores maliciosos puedan acceder a ellos.

Además, según los investigadores, se trata de una campaña que lleva activa desde, por lo menos, noviembre del pasado año. La última muestra del malware encontrada tiene fecha del día 2 de este mes, lo que indica que "ha estado funcionando sin ser detectado durante al menos tres meses".

Así, para distribuirse, este malware suplanta una actualización del programa Visual Studio de Microsoft. De hecho, algunas muestras identificadas disponen de nombres como 'VisualStudioUpdater', 'VisualStudioUpdater_Patch', 'VisualStudioUpdating' y 'visualstudioupdate'. Sin embargo, también se encontraron otras muestras de este malware con el nombre 'DO_NOT_RUN_ChromeUpdates' o 'zshrc2'.

 Para distribuirse, este malware suplanta una actualización del programa Visual Studio de Microsoft

Igualmente, todos los archivos se muestran como FAT binarios, es decir, que se pueden ejecutar en múltiples tipos de procesadores, en este caso, para arquitecturas basadas en Intel (x86_64) y ARM (Apple Silicon).

Dentro de las distintas versiones que los investigadores identificaron en la campaña de este malware, se encontraron comandos como 'shell', 'cd', 'sleep', 'upload', 'taskkill' o 'dialog', con los que los ciberdelincuentes pueden recopilar y cargar archivos, así como obtener información sobre el propio dispositivo en el que se está llevando a cabo.

Tal y como explicaron, en concreto, el comando 'sysctl' junto con los comandos 'pwd' y 'hostname' envían al punto final de registro del servidor de infraestructura de mando y control -esto es, servidores que controlan la información, la centralizan y realizan las acciones necesarias- un archivo Victim ID, que, posteriormente, se utiliza en "el resto de la comunicación entre C&C y la puerta trasera".

Con todo ello, desde Bitdefender han señalado que, por el momento, esta campaña de malware no se puede atribuir a ningún actor de amenazas conocido. Sin embargo, observaron similitudes con el ransomware ALPHV/BlackCat, que también utiliza el lenguaje de programación Rust y "dominios comunes", como los servidores de infraestructura de mando y control.

Incluso, puntualizaron que tres de los cuatro servidores de mando y control utilizados en este 'malware', se asociaron con campañas previas de ransomware dirigidas a clientes de Windows.

Te puede interesar