Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

DISTRIBUCIÓN Y ESTRATEGIAS DEL NUEVO TIPO DE AMENAZA TROYANO PROXY EN MACOS

21/03/2024

DISTRIBUCIÓN Y ESTRATEGIAS DEL NUEVO TIPO DE AMENAZA TROYANO PROXY EN MACOS
El vector de infección comienza cuando los usuarios descargan aplicaciones que se hacen pasar por legítimas en sitios web de reputación cuestionable. De esta manera, sin saberlo, están descargando la carga útil de este tipo de amenaza. A diferencia del software legítimo, que comúnmente se distribuye como una imagen de disco, este viene en forma de instaladores .PKG (un archivo de paquete de instalación de software para MacOs) que ejecuta un script una vez que se realiza la instalación.

Descripción:

El equipo del Csirt Financiero observó que los actores de amenaza están distribuyendo un nuevo tipo de amenaza que presenta características de un troyano proxy mediante herramientas de software gratuito a equipos con sistema operativo MacOs.

 

Este script reemplaza los archivos "WindowServer" (utilizado para actualizar el software de Google en MacOs) y "p.plist" que se encuentran en las rutas "/Library/Application Support/WindowServer" y "/Library/LaunchAgents/GoogleHelperUpdater.plist" por unos maliciosos que se encuentran en el directorio "/Contents/Resources/", otorgándoles permisos de administrador.

 

El "p.plist" o "GoogleHelperUpdater.plist" tiene la función de iniciar automáticamente el archivo "WindowServer", con una ruta establecida en ${VAR}, como un proceso del sistema después de cargar el sistema operativo.

 

Una vez que este tipo de amenaza se ejecuta, crea archivos de registro e intenta obtener una dirección IP del servidor de comando y control (C2) a través de DoH (un protocolo de seguridad que permite a los navegadores web enviar solicitudes DNS a través de conexiones HTTPS en lugar de conexiones DNS no cifradas). El objetivo es que la solicitud de DNS sea indistinguible de una solicitud HTTPS normal y así ocultarla del monitoreo del tráfico para pasar desapercibido. Para establecer comunicación con el C2, lo realiza mediante el registro "register[.]akamaized[.]ca" a través de WebSocket (un protocolo de red basado en TCP que permite una comunicación bidireccional), enviando la versión de la aplicación para posteriormente esperar instrucciones de los ciberdelincuentes.

 

Vector de infección:

El troyano proxy se distribuye mediante la descarga de software desde sitios web fraudulentos, con el objetivo de que los usuarios descarguen y ejecuten la carga útil.

 

Recomendaciones:

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

 

  • Implementar la autenticación de doble factor (2FA) o autenticación multifactor (MFA) para reforzar la seguridad de las cuentas de usuario.
  • Brindar capacitación continua a los empleados y usuarios sobre las últimas amenazas cibernéticas y cómo reconocer vectores de ataque.
  • Realizar monitoreo constante al tráfico de red (entrada y salida) generado en la organización, en búsqueda de comunicaciones anómalas que evidencien equipos comprometidos.
  • No realizar la descarga de software de sitios web diferentes a los oficiales.

 

Leer noticia: https://securelist.com/trojan-proxy-for-macos/111325/