Un nuevo tipo de malware de Mac se está colando por grietas de CleanMyMac o Photoshop, y ha estado robando datos de los navegadores y robando carteras de criptomonedas. Así es como se mantiene a salvo.
Según el laboratorio Moonlock de MacPaw, el malware a menudo se presenta como aplicaciones legítimas. Una vez instalado, puede usar AppleScript para engañar a los usuarios para que revelen sus contraseñas, robar cookies de navegadores como Chrome y Safari, y autodestruirse si detecta que se está ejecutando en una máquina virtual.
El script comienza obteniendo el nombre de usuario actual del sistema junto con otras rutas esenciales del sistema para su uso posterior. Luego, crea una carpeta temporal para almacenar los datos robados antes de enviarlos.
Los navegadores web como Chrome y Safari también pueden filtrar información confidencial del usuario, como el historial de navegación, las cookies y las contraseñas guardadas. Otra función del script es su capacidad para encontrar y acceder a carteras de criptomonedas populares. Puede robar archivos de la cartera, lo que potencialmente le da al atacante acceso a los activos criptográficos de la víctima.
Las carteras a las que se dirige incluyen Electrum, Coinomi, Exodus, Atomic Wallet, Wasabi Wallet, Ledger Live, Feather (Monero), Bitcoin Core, Litecoin Core, Dash Core, Electrum-LTC, Electron Cash, Guarda Wallet, Dogecoin Core, Binance y TonKeeper.
A continuación, el script copia el archivo «login.keychain-db», que contiene datos del llavero de macOS como contraseñas y credenciales confidenciales. También toma datos de Apple Notes copiando el «NoteStore.sqlite» y los archivos relacionados.
El malware es en realidad una variante de «Atomic Stealer». Inicialmente identificado en 2023, Atomic Stealer ha evolucionado para llegar a ser más difícil de detectar.
Deja una respuesta
Lo siento, debes estar conectado para publicar un comentario.