Check Point Research detecta una variedad de malware en la Darknet que roba información de los usuarios de Mac

Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, informa de la evolución de una variedad de malware que roba información a los usuarios de MacOS. Por tan solo 49 dólares en la Darknet, los hackers pueden comprar licencias para el nuevo malware, que permite obtener credenciales de inicio de sesión, recoger capturas de pantalla, registrar las pulsaciones de teclado y ejecutar archivos maliciosos.

Check Point Research (CPR) resalta que el malware bautizado como «Clonador» proviene de la famosa familia de malware «Formbook», dirigida principalmente a los usuarios de Windows, pero que desapareció de la venta en 2018. Formbook se rebautizó como XLoader en 2020. Durante los últimos seis meses, CPR ha estudiado las actividades de XLoader para concluir que es prolífico y que no se dirige sólo a Windows, sino también a usuarios de Mac.

Los hackers pueden comprar licencias de XLoader en la Darknet por un precio tan bajo como 49 dólares, lo que les permite recopilar credenciales de inicio de sesión, recoger capturas de pantalla, registrar las pulsaciones del teclado y ejecutar archivos maliciosos.

A través de correos electrónicos falsos que contienen documentos maliciosos de Microsoft Office

se engaña a las víctimas para que se descarguen la cepa de malware Se trata de una amenaza potencial para todos los usuarios de Mac que en 2018 la marca de la manzana estimó den más de 100 millones.

Objetivos del malware

CPR rastreó la actividad de Xloader entre el 1 de diciembre de 2020 y el 1 de junio de 2021. Tras los análisis detectaron solicitudes de XLoader provenientes de 69 países. Más de la mitad (53%) de las víctimas residen en Estados Unidos. El desglose de las víctimas por país se presenta en el siguiente gráfico de barras:

Proceso de infección

XLoader suele propagarse mediante correos electrónicos falsos que atraen a sus víctimas para que descarguen y abran un archivo malicioso, normalmente documentos de Microsoft Office.

Consejos de prevención

Para evitar la infección, CPR recomienda a los usuarios de Mac y Windows los siguientes recaudos:

No abrir archivos adjuntos sospechosos.
Evitar visitar sitios web sospechosos.
Utilizar software de protección de terceros para ayudar a identificar y prevenir comportamientos maliciosos en su ordenador.

Guía de detección y eliminación

Dado que este malware es de naturaleza sigilosa, probablemente sea difícil para un ojo «no técnico» reconocer si ha sido infectado. Por lo tanto, si existe la sospecha de haber sido atacado, es recomendable consultarlo con un profesional de la seguridad o utilizar herramientas y protecciones de terceros diseñadas para identificar, bloquear e incluso eliminar esta amenaza del ordenador. Para obtener más detalles técnicos de ayuda, CPR recomienda ir a Autorun y:

Compruebe su nombre de usuario en el sistema operativo.
Vaya al directorio /Users/[nombre de usuario]/Librería/LaunchAgents.
Compruebe si hay nombres de archivo sospechosos en este directorio (el ejemplo siguiente es un nombre aleatorio).
/Usuarios/usuario/Biblioteca/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist
Elimine el archivo sospechoso.

«Como parte de nuestro seguimiento de la ciberdelincuencia, hemos observado interesantes desarrollos de la conocida familia de malware 'Formbook'. 'XLoader' es una nueva cepa de malware derivada del malware Formbook original y es mucho más maduro y sofisticado que sus predecesores, además de compatible con diferentes sistemas operativos, concretamente con ordenadores MacOS, un hecho no común. Existe una creencia errónea entre los usuarios de MacOS de que las plataformas de Apple son más seguras, pero la brecha entre el malware de Windows y el de MacOS se ha estrechado mucho con el tiempo». Destaca Yaniv Balmas, Jefe de Investigación Cibernética de Check Point Software. «La verdad es que el malware para MacOS es cada vez más frecuente y peligroso. Nuestros hallazgos recientes son un ejemplo perfecto que confirman esta tendencia. Con la creciente popularidad de las plataformas MacOS, tiene sentido que los ciberdelincuentes muestren más interés y personalmente preveo que veremos más ciberamenazas siguiendo la familia de malware Formbook.»

- amazon

Acerca de Check Point Research
Check Point Research proporciona inteligencia sobre amenazas ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo de investigación recoge y analiza los datos de ciberataques globales almacenados en ThreatCloud para mantener a los ciberdelincuentes a raya, al tiempo que se asegura de que todos los productos de Check Point están actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, con las fuerzas del orden y con varios CERTs.

Acerca de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. es un proveedor líder de soluciones de ciberseguridad para Gobiernos y empresas corporativas a nivel mundial. La cartera de soluciones de Check Point Infinity protege a las empresas y organizaciones públicas de los ciberataques de quinta generación con una tasa de captura líder en la industria de malware, ransomware y otras amenazas. Check Point Infinity se compone de tres pilares fundamentales que ofrecen una seguridad sin compromisos y una prevención de amenazas de quinta generación en todos los entornos empresariales: Check Point Harmony, para usuarios remotos; Check Point CloudGuard, para proteger automáticamente la nube; y Check Point Quantum, para proteger los perímetros de la red y los centros de datos, todo ello controlado por la gestión de seguridad unificada más completa e intuitiva del sector. Check Point Software protege a más de 100.000 empresas de todos los tamaños.