Investigadores de Kaspersky Lab han descubierto recientemente una nueva familia de malware dirigida a usuarios de macOS que almacenan criptomonedas en billeteras digitales. El malware, previamente desconocido, se distribuye a través de aplicaciones pirateadas y roba las frases secretas que permiten acceder a las criptomonedas guardadas.

Funcionamiento del malware para macOS

Este nuevo cripto-troyano tiene dos características únicas. Primero, utiliza registros DNS para ejecutar un script malicioso de Python en el equipo de la víctima. Segundo, no solo roba las billeteras digitales, sino que además las reemplaza con una versión infectada del software de la billetera. Esto le permite robar la frase secreta utilizada para acceder a las criptomonedas almacenadas cuando el usuario intenta usar su billetera digital comprometida.

Distribución a través de apps pirateadas

El malware se distribuye a través de aplicaciones pirateadas descargadas de sitios no confiables. Contiene un «activador» y la aplicación objetivo. El activador se presenta como un software aparentemente benigno que solicita al usuario su contraseña para poder ejecutar la aplicación comprometida.

Manipulación de aplicaciones

Los atacantes utilizan versiones pre-comprometidas de las apps, manipulando los archivos ejecutables para hacerlas inoperables hasta que el usuario ejecuta el activador malicioso. De esta forma, garantizan que el usuario active inadvertidamente la aplicación infectada.

Blancos y desarrollo del malware

El malware está dirigido a los usuarios de macOS 13.6 y versiones superiores, tanto en equipos con procesadores Intel como Apple Silicon.

Una vez activado, el malware ejecuta su carga maliciosa principal obteniendo registros DNS TXT de un dominio malicioso y descifrando el script Python desde ahí. Este script se ejecuta continuamente intentando descargar la siguiente etapa de la infección, que es otro script Python.

El propósito de este segundo script es ejecutar comandos arbitrarios recibidos desde el servidor de mando y control de los atacantes. Aunque durante las investigaciones no se recibieron comandos, es evidente que la campaña de malware aún se encuentra en desarrollo.

Reemplazo de billeteras digitales

Además de las funcionalidades descritas, el malware verifica la presencia de billeteras de Bitcoin, Ethereum y otras criptomonedas para reemplazarlas con versiones maliciosas descargadas de un dominio controlado por los atacantes. Esta técnica fue observada apuntando tanto a las billeteras Bitcoin como Exodus.

Recomendaciones de seguridad

Para protegerse de este nuevo malware para macOS, los investigadores recomiendan:

  • Descargar aplicaciones solo desde tiendas oficiales como App Store.
  • Instalar y mantener activa una solución de seguridad confiable.
  • Actualizar el sistema operativo y apps importantes regularmente.
  • Usar frases iniciales robustas en las billeteras de criptomonedas.
  • Utilizar contraseñas seguras y únicas para cada cuenta.

Este nuevo malware para macOS resalta la importancia de tomar precauciones al descargar software y la amenaza persistente de malware diseñado para robar criptomonedas aprovechando descuidos de los usuarios. Mantener buenos hábitos de seguridad y utilizar herramientas de protección confiables es clave para proteger nuestras criptomonedas.