'Creado para perdurar toda la vida'

'Creado para perdurar toda la vida'

Cover Image for Usuarios de MacOS de importantes aplicaciones de chat están siendo afectados por una nueva estafa de malware.

Usuarios de MacOS de importantes aplicaciones de chat están siendo afectados por una nueva estafa de malware.

Si utilizas WeChat o DingTalk, existe la posibilidad de que tus datos sensibles estén en peligro.

Expertos en ciberseguridad han alertado a los usuarios de macOS en China sobre una nueva amenaza de malware diseñada para robar información, la cual está apuntando específicamente a quienes utilizan las aplicaciones DingTalk y WeChat para comunicarse. Investigadores de Kaspersky han analizado una muestra reciente de malware, que fue subida a VirusTotal, y han descubierto que los hackers han modificado un infostealer conocido como HZ RAT para que funcione en macOS.

HZ RAT ha estado presente desde 2020 y fue identificado por primera vez por un medio alemán de ciberseguridad a finales de 2022. Este infostealer, aunque básico en su funcionamiento, es capaz de conectarse a un servidor de mando y control (C2), ejecutar comandos y scripts de PowerShell, escribir archivos arbitrarios en el sistema objetivo, cargar archivos y enviar información del sistema.

Según reportes, dada su funcionalidad limitada, HZ RAT parece ser utilizado para el robo de credenciales y la exploración de sistemas. Se ha creado una copia del malware, idéntica a la versión de Windows, pero adaptada para macOS. Kaspersky subrayó que las muestras halladas replican casi exactamente las funcionalidades de su contraparte en Windows, aunque difieren en el contenido del payload, que llega en forma de scripts desde el servidor de los atacantes.

Las versiones tanto de Windows como de macOS comparten un método similar para llegar al dispositivo de la víctima. Mientras que las variantes para Windows se hacen pasar por software legítimo como OpenVPN o PuTTYgen, las versiones para macOS se disfrazan como el cliente OpenVPN Connect.

La información que roba HZ RAT varía según la aplicación de chat utilizada. En el caso de WeChat, el malware intenta obtener el WeChatID, así como el correo electrónico y número de teléfono de la víctima. Para DingTalk, los atacantes buscan información más detallada como el nombre de la organización, el departamento donde trabaja el usuario, su nombre de usuario, dirección de correo corporativo y número de teléfono.

Aunque se desconoce la identidad de los atacantes, los investigadores lograron identificar la ubicación de la infraestructura C2, que se encuentra mayoritariamente en China, con algunos servidores detectados en Estados Unidos y los Países Bajos.

  • malware
  • ciberseguridad
  • macOS
Un nuevo keylogger utiliza scripts de PowerShell de Microsoft para robar información confidencial sin ser detectado: así puedes proteger tus datos.
|