Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor global de soluciones de ciberseguridad, informa de la evolución de una variedad de malware que roba información a los usuarios de MacOS. Por tan solo 49 dólares en la Darknet, los hackers pueden comprar licencias para el nuevo malware, que permite obtener credenciales de inicio de sesión, recoger capturas de pantalla, registrar las pulsaciones de teclado y ejecutar archivos maliciosos.
Check Point Research (CPR) resalta que el malware bautizado como “Clonador” proviene de la famosa familia de malware “Formbook”, dirigida principalmente a los usuarios de Windows, pero que desapareció de la venta en 2018. Formbook se rebautizó como XLoader en 2020. Durante los últimos seis meses, CPR ha estudiado las actividades de XLoader para concluir que es prolífico y que no se dirige sólo a Windows, sino también a usuarios de Mac.
Los hackers pueden comprar licencias de XLoader en la Darknet por un precio tan bajo como 49 dólares, lo que les permite recopilar credenciales de inicio de sesión, recoger capturas de pantalla, registrar las pulsaciones del teclado y ejecutar archivos maliciosos.
A través de correos electrónicos falsos que contienen documentos maliciosos de Microsoft Office
se engaña a las víctimas para que se descarguen la cepa de malware Se trata de una amenaza potencial para todos los usuarios de Mac que en 2018 la marca de la manzana estimó den más de 100 millones.
Objetivos del malware
CPR rastreó la actividad de Xloader entre el 1 de diciembre de 2020 y el 1 de junio de 2021. Tras los análisis detectaron solicitudes de XLoader provenientes de 69 países. Más de la mitad (53%) de las víctimas residen en Estados Unidos. El desglose de las víctimas por país se presenta en el siguiente gráfico de barras:
Proceso de infección
XLoader suele propagarse mediante correos electrónicos falsos que atraen a sus víctimas para que descarguen y abran un archivo malicioso, normalmente documentos de Microsoft Office.
Consejos de prevención
Para evitar la infección, CPR recomienda a los usuarios de Mac y Windows los siguientes recaudos:
- No abrir archivos adjuntos sospechosos.
- Evitar visitar sitios web sospechosos.
- Utilizar software de protección de terceros para ayudar a identificar y prevenir comportamientos maliciosos en su ordenador.
Guía de detección y eliminación
Dado que este malware es de naturaleza sigilosa, probablemente sea difícil para un ojo “no técnico” reconocer si ha sido infectado. Por lo tanto, si existe la sospecha de haber sido atacado, es recomendable consultarlo con un profesional de la seguridad o utilizar herramientas y protecciones de terceros diseñadas para identificar, bloquear e incluso eliminar esta amenaza del ordenador. Para obtener más detalles técnicos de ayuda, CPR recomienda ir a Autorun y:
- Compruebe su nombre de usuario en el sistema operativo.
- Vaya al directorio /Users/[nombre de usuario]/Librería/LaunchAgents.
- Compruebe si hay nombres de archivo sospechosos en este directorio (el ejemplo siguiente es un nombre aleatorio).
- /Usuarios/usuario/Biblioteca/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist
- Elimine el archivo sospechoso.
“Como parte de nuestro seguimiento de la ciberdelincuencia, hemos observado interesantes desarrollos de la conocida familia de malware ‘Formbook’. ‘XLoader’ es una nueva cepa de malware derivada del malware Formbook original y es mucho más maduro y sofisticado que sus predecesores, además de compatible con diferentes sistemas operativos, concretamente con ordenadores MacOS, un hecho no común. Existe una creencia errónea entre los usuarios de MacOS de que las plataformas de Apple son más seguras, pero la brecha entre el malware de Windows y el de MacOS se ha estrechado mucho con el tiempo”. Destaca Yaniv Balmas, Jefe de Investigación Cibernética de Check Point Software. “La verdad es que el malware para MacOS es cada vez más frecuente y peligroso. Nuestros hallazgos recientes son un ejemplo perfecto que confirman esta tendencia. Con la creciente popularidad de las plataformas MacOS, tiene sentido que los ciberdelincuentes muestren más interés y personalmente preveo que veremos más ciberamenazas siguiendo la familia de malware Formbook.”
Ilustración: Canva