Hubo un momento en que se consideraba que las Mac estaban a salvo del malware y otros males. Los atacantes prefirieron perseguir a los usuarios de Windows simplemente porque había más de ellos: los atacantes podían sacar más provecho de su dinero. Sin embargo, eso ha ido cambiando con más personas que poseen Mac. Esto ha llevado a un tercer ataque de día cero en macOS en menos de un año, lo que permite a los atacantes aprovechar de varias maneras a través de Safari.
Descubrimiento del tercer ataque de día cero de macOS
En agosto pasado, los expertos en seguridad encontraron XCSSET, un ataque de día cero que afectó a los desarrolladores de Mac. Les dio acceso a cookies y archivos del navegador. También dejó atrás las puertas traseras del sitio web y se apropió de la información de las aplicaciones mientras dejaba una nota de rescate. El pasado mes de marzo, los investigadores de SentinelOne descubrieron una biblioteca de código troyano que instalaba el malware XCSSET en Mac para desarrolladores.
Se ha descubierto una tercera instancia de XCSSET por investigadores de Trend Micro. En estos dos ataques de día cero en macOS, uno aprovecha una falla para robar cookies y el otro aprovecha una edición para desarrolladores de Safari. Los investigadores encontraron que los ataques eran «bastante inusuales».
“El código malicioso se inyecta en los proyectos locales de Xcode para que cuando se construya el proyecto, se ejecute el código malicioso. Esto representa un riesgo para los desarrolladores de Xcode en particular. La amenaza aumenta desde que identificamos a los desarrolladores afectados que compartieron sus proyectos en GitHub, lo que provocó un ataque similar a una cadena de suministro para los usuarios que dependen de estos repositorios como dependencias de sus propios proyectos ”, se lee en una publicación de blog en el sitio web de Trend Micro. Los investigadores creen que los ataques podrían ser generalizados, ya que el malware también se identificó en las fuentes de VirusTotal.
Los investigadores detectaron la amenaza de entrada como «TrojanSpy.MacOS.XCSSET.A y sus archivos relacionados con el comando y control (C&C) como Backdoor.MacOS.XCSSET.A».
El daño que causa XCSSET
Los proyectos de código X y las aplicaciones modificadas se crean a partir del malware y propagan el ataque. Lo que no se sabe es cómo llega el malware a estas Mac. Lo que sí se sabe es que los proyectos de código X se han modificado para ejecutar código malicioso, que llega a las Mac, las credenciales de los usuarios principales y otra información para ser robada.
Una vez que aterriza en un sistema, XCSSET puede:
- Abusar de Safari y otros navegadores
- Leer y volcar cookies de Safari
- Inyecte puertas traseras en la versión de desarrollo de Safari a través de un ataque UXSS
- Robar información de aplicaciones
- Toma capturas de pantalla
- Subir archivos de usuario al servidor del atacante
- Cifrar archivos
- Mostrar una nota de rescate
Un ataque UXSS afecta principalmente a la navegación. Puede:
- Modificar sitios web
- Modificar / reemplazar direcciones de Bitcoin y criptomonedas
- Robar credenciales de cuenta
- Robar información de la tarjeta de crédito de Apple Store
- Impedir que el usuario cambie contraseñas mientras roba contraseñas modificadas
- Toma capturas de pantalla
Con tres ocurrencias del ataque de día cero de Mac en menos de un año, no se sabe dónde y cuándo llegará a continuación. Trend Micro sugiere que los usuarios solo descarguen aplicaciones de fuentes oficiales y legítimas y utilicen una solución de seguridad multicapa.
Siga leyendo para conocer algunas verdades desagradables sobre los exploits de día cero y si Windows Defender es lo suficientemente bueno en 2021.
