AppleJeus

Los ciberdelincuentes se interesan cada vez más en crear amenazas dirigidas a dispositivos que ejecutan OSX. Una de las amenazas más recientes de este tipo que los expertos en ciberseguridad han detectado se llama AppleJeus. La amenaza AppleJeus es una puerta trasera troyana con varias características intrigantes. Los autores del troyano AppleJeus lo están propagando utilizando intercambios de moneda de activos digitales falsos. Se insta a cualquier usuario que desee utilizar el servicio a descargar una plataforma de comercio de activos digitales. Sin embargo, tan pronto como los usuarios descarguen e instalen el archivo, la puerta trasera del troyano AppleJeus se plantará en sus sistemas de forma silenciosa. Además de la variante de esta amenaza que se dirige a las computadoras Mac, los autores también han desarrollado una copia que también persigue los sistemas Win-dows. La variante de Windows de esta amenaza no posee cualidades que sean demasiado impresionantes, pero la copia OSX tiene algunos aspectos curiosos que vale la pena explorar.

Un archivo dañado está alojado en GitHub

Para engañar a los usuarios y comprometer sus sistemas, la puerta trasera del troyano Ap-pleJeus está enmascarada como un intercambio falso llamado 'Celas' o 'JMT Trading'. Ambos servicios están compuestos y no están vinculados a ninguna empresa o negocio genuino. Los creadores de la puerta trasera AppleJeus han optado por alojar el archivo corrupto de la amenaza en la plataforma legítima GitHub. El nombre del archivo es 'JMT-Trader.pkg'. El hecho de que los autores de esta amenaza alojen este archivo en una plataforma acreditada como GitHub puede engañar a algunos usuarios para que piensen que no hay nada sospechoso y que el servicio es genuino.

Gana persistencia

Para ganar persistencia en el host desordenado, la puerta trasera Ap-pleJeus desplegará una colección de archivos usando un script de instalación y luego generará un nuevo demonio de lanzamiento que se asegurará de que la amenaza se ejecute cada vez que se reinicie la computadora. Se requieren privilegios de administrador para completar este paso del ataque, pero esto no es un problema para los autores de la amenaza. La puerta trasera AppleJeus Tro-jan presentará a los usuarios un mensaje que los insta a completar sus credenciales de administrador y dar luz verde a la instalación.

A pesar de la breve lista de comandos que la amenaza puede ejecutar, son más que suficientes para que los atacantes obtengan un control casi completo sobre la máquina comprometida. La puerta trasera AppleJeus puede:

  • Sube archivos al host infectado.
  • Ejecute archivos en el host infectado.
  • Ejecute comandos remotos en el host infectado.
  • Auto-terminación.

Basándose en el complejo método de propagación empleado por los atacantes, es seguro asumir que tienen mucha experiencia en el campo del delito cibernético. Esto llevó a los investigadores de ciberseguridad a creer que puede haber una APT (amenaza persistente avanzada) detrás de este ataque. Al estudiar el troyano de puerta trasera AppleJeus, los expertos encontraron algunos paralelos cercanos entre esta amenaza y otras cepas de malware que se han asociado con el famoso ATP norcoreano llamado Lazarus. Las amenazas relanzadas por el APT Lazarus son muy potentes y amenazantes. Es por eso que debería considerar invertir en una aplicación antimalware de buena reputación que mantenga su sistema seguro.

Tendencias

Mas Visto

Cargando...