Investigadores de SentinelOne han identificado nuevas variantes de malware dirigidas a sistemas macOS, atribuidas a actores de amenazas de la República Popular Democrática de Corea (RPDC). Estas variantes forman parte de la campaña conocida como "Contagious Interview", que ha estado activa desde al menos noviembre de 2023.
Evolución de la campaña "Contagious Interview"
Inicialmente, la campaña se centraba en la distribución de aplicaciones maliciosas firmadas digitalmente, como "VCam" o "CameraAccess", que se presentaban como software legítimo de videoconferencia. Estas aplicaciones contenían cargas útiles maliciosas diseñadas para comprometer los sistemas de las víctimas. Sin embargo, ante la detección y mitigación de estas amenazas, los atacantes han adaptado sus tácticas, pasando a utilizar versiones no firmadas de aplicaciones similares para evadir las medidas de seguridad.
Métodos de distribución
Los actores de amenazas emplean diversas tácticas para distribuir el malware. Una de ellas consiste en crear "issues" falsas en repositorios legítimos de GitHub, donde proporcionan instrucciones que conducen a la descarga de instaladores maliciosos, como "ffmpeg.sh". Este enfoque busca comprometer a desarrolladores y usuarios que confían en estos repositorios para obtener software y herramientas.
Características del malware "FlexibleFerret"
Una de las variantes más recientes identificadas ha sido denominada "FlexibleFerret". Este malware es una evolución de la familia "FERRET" y presenta capacidades avanzadas para evadir la detección y persistir en los sistemas comprometidos. Entre sus funcionalidades se incluyen:
- Evasión de detección: Utiliza técnicas para evitar ser detectado por soluciones de seguridad tradicionales, lo que le permite operar sin ser descubierto durante períodos prolongados.
- Persistencia: Implementa mecanismos que le permiten reiniciarse y mantenerse activo incluso después de reinicios del sistema o intentos de eliminación.
- Exfiltración de datos: Está diseñado para recopilar y enviar información sensible desde el sistema comprometido a servidores controlados por los atacantes.
Recomendaciones de seguridad
Para protegerse contra estas amenazas, se aconseja a los usuarios y administradores de sistemas macOS:
- Descargar software únicamente de fuentes confiables: Evite instalar aplicaciones de procedencia dudosa o no verificadas.
- Verificar la firma digital de las aplicaciones: Aunque los atacantes han comenzado a utilizar aplicaciones no firmadas, la verificación de firmas digitales sigue siendo una medida importante para garantizar la autenticidad del software.
- Mantener el sistema operativo y las aplicaciones actualizadas: Las actualizaciones frecuentes corrigen vulnerabilidades que pueden ser explotadas por malware.
- Implementar soluciones de seguridad robustas: Utilice software de seguridad confiable que ofrezca protección en tiempo real y capacidades de detección avanzadas.
- Educar a los usuarios sobre tácticas de ingeniería social: La concienciación es clave para prevenir que los usuarios caigan en trampas como "issues" falsas o correos electrónicos de phishing.
La continua adaptación de los actores de amenazas subraya la importancia de una postura de seguridad proactiva y una vigilancia constante para proteger los sistemas y datos sensibles.
Fuente: macOS FlexibleFerret | Descubiertas otras variantes de la familia de malware de la RPDC
