Un nuevo malware se ha descubierto para los equipos Mac. En menos de una semana, se descubre un segundo ejemplo de malware dirigido, ya que la semana pasada hablamos del malware MacDownloader dirigido a activistas iraníes. Este segundo malware está orientado a la utilización de Microsoft Word y permite al atacante apoderarse del control de la máquina, cuando el usuario ejecuta una macro, la cual descarga un payload que permite infectar el Mac objetivo. El archivo de Word se denominada "Aliados de los EE.UU y rivales de Trump", según ha indicado el equipo de Objective-See.
Cuando se abre el archivo, las potenciales víctimas reciben el típico aviso de que la ejecución de macros podrían hacer que el equipo se dañara o infectara. Si el usuario acepta la ejecución de las macros, tendría el control de la máquina, ya que en ese momento se ejecutaría la macro y ésta descargaría el payload con el objetivo de infectar el equipo. Una de las cosas que la macro comprueba es si Little Snitch se está ejecutando en la máquina, ya que habría que evitarla. El código de la macro se puede encontrar en el proyecto EmPyre, un derivado del famoso Powershell Empire.
Figura 1: Mensaje de advertencia sobre ejecución de macros |
Los investigadores creen que el payload podría persistir en el Mac ejecutándose automáticamente después de un reinicio de la máquina. Además, se cree que podría realizar funciones basadas en uno de los muchos módulos de EmPyre. Estos módulos ofrecen una multitud de opciones para que los atacantes puedan adquirir y recopilar informacion, incluyendo keyloggers, volcado de llaveros, monitorización del portapapeles, capturas de pantalla, acceso a iMessage o, incluso, a la webcam. El malware, como ha indicado Patrick Wardle, no es particularmente avanzado debido a que los usuarios deben interactuar con el mensaje de las macros, pero una vez habilitado el malware es eficaz y funciona bien.
No hay comentarios:
Publicar un comentario