Mérida, Yucatán 97314, México

ventas@hals.com.mx

Aparece un nuevo spyware ruso que roba contraseñas de iPhones

Investigadores en seguridad de Bitdefender han descubierto esta semana un nuevo malware para Mac desarrollado por APT28, un grupo de ciberesiponaje ruso que presuntamente tiene vínculos con el gobierno del país euroasiático.

El malware es una nueva variante del spyware X-Agent, del cual aparecieron antes versiones para el resto de sistemas operativos mayoritarios: Windows, iOS, Android y dispositivos Linux. Sobre sus capacidades, está diseñado para robar contraseñas alojadas en los navegadores web, tomar capturas de pantalla, detectar configuraciones del sistema, ejecutar ficheros y hacerse con copias de seguridad de iPhones almacenadas en una computadora.

El grupo de ciberespionaje ruso APT28 ha utilizado una gran cantidad de nombres, entre los cuales están Fancy Bear, Sofacy, Sednit y Pawn Storm. Como ya hemos comentado, tiene presuntos vínculos con el gobierno de Rusia y está operativo desde 2007. Según Bitdefender, X-Agent para Mac se distribuye a través de un binario y una vez instalado en el sistema hace acto de “presencia en algunos módulos como FileSystem, KeyLogger y Remote Shell, así como un módulo de red similar llamado HttpChanel”. Al igual que en las versiones disponibles para los otros sistemas, este spyware se dedica a actuar como una puerta trasera con capacidades de avanzadas de ciberespionaje que pueden ser modificadas según los objetivos del ataque.

Además, X-Agent está planteado de forma que explote una vulnerabilidad hallada en el software MacKeeper instalado en las computadoras objetivo, empleando para ello un “soltador de malware” llamado Komplex. Una vez instalada, la puerta trasera comprueba la presencia de algún depurador para evitar su ejecución en caso de encontrarlo. Si no puede hacer esto, la puerta trasera espera a una conexión a Internet para comunicarse con su mando y control.

Para la conexión con el mando y control utiliza una serie de URL que suplantan los dominios de Apple además de soltar su carga útil en los módulos. Una vez haya conseguido conectarse con el mando y control con éxito, la carga útil envía un mensaje de saludo, para luego generar dos hilos de comunicación que se ejecutan en bucles infinitos. Uno de los hilos utiliza POST para enviar información al mando y control, mientras que el otro supervisa las peticiones GET para los comandos. Tras todo lo descrito, los investigadores de Bitdefender todavía están investigando cómo se realiza el ataque completo, ya que de momento solo tienen la muestra para Mac.

No es la primera vez que APT28 desarrolla un malware que ataca ordenadores Mac. Por otro lado, es uno de los grupos acusados de haber hackeado los servidores del Comité del Partido Demócrata el año pasado, durante la elección del candidato a la presidencia de Estados Unidos.

More from the blog

Descubre las Tendencias Más Innovadoras en Ciberseguridad en el Sophos Partner Roadshow 2023 en Mérida por Hals Intelligence

  Mérida, Yucatán - En un evento que reunió a cerca de 150 partners especializados en ciberseguridad, Sophos, la empresa líder en soluciones de ciberseguridad,...

Actualiza ya tu iPhone para combatir que te puedan espiar

Hoy hemos conocido que Apple ha neutralizado nuevas vulnerabilidades, las primeras de 2023 en los iPhone y que han sido catalogadas como del día...

Porque es importante la Ciberseguridad en las empresas de Yucatán, Hals Intelligence

El director de la empresa Hals Intelligence, Hugo López pionera en ciberseguridad en la peninsula nos habla sobre la importancia de la ciberseguridad...

Importancia de la Ciberseguridad para las personas y las empresas

La ciberseguridad es un tema de gran importancia en el mundo actual, ya que cada vez más nuestra vida cotidiana y nuestros negocios dependen...