Laoshu
La amenaza LaoShu es una pieza de malware diseñada para dirigirse exclusivamente a sistemas Mac. El objetivo detrás de LaoShu es recopilar datos confidenciales de los hosts comprometidos. El troyano LaoShu se propaga a través de correos electrónicos que tienden a contener un archivo PDF infectado. En la última campaña que involucró al troyano LaoShu, los atacantes parecen haber elegido enmascarar los correos electrónicos falsos como mensajes legítimos enviados por compañías de entrega conocidas. Los correos electrónicos indicarán que el usuario tiene un paquete que no ha recogido y que el archivo PDF adjunto contiene más información sobre el problema. En algunos casos, en lugar de un archivo PDF, el correo electrónico contendría un archivo adjunto ZIP, que lleva un archivo PDF. Algunos usuarios informan que el correo electrónico fraudulento los redirigió a un sitio web que parecía ser la página oficial de la empresa de mensajería en cuestión. Sin embargo, después de analizarlo, los analistas de ciberseguridad descubrieron que este es un sitio web falso alojado por los atacantes, que está diseñado para parecerse a la página web original de la empresa de entrega.
Los creadores del troyano LaoShu confían en el diseño del OSX. Una vez que un usuario descarga el supuesto archivo PDF, podrá verlo en descargas recientes. Sin embargo, el archivo malicioso solo parece ser un archivo PDF cuando en realidad es un programa de aplicación. Esto significa que abrir el archivo malicioso permitirá que el troyano LaoShu penetre en su sistema. Al iniciar el archivo, las medidas de seguridad de OSX le advertirán al usuario que el archivo puede ser peligroso. Los usuarios que ignoran la advertencia y continúan serán redirigidos al navegador Safari, en lugar de ver un archivo PDF como esperaban. Este es un truco inteligente diseñado para engañar a los usuarios para que crean que algo salió mal al abrir el archivo. Si los usuarios no lo analizan más a fondo, es posible que nunca se den cuenta de que su sistema ha sido infectado porque el troyano LaoShu funciona en silencio.
Cuando el troyano LaoShu se instala con éxito en el host de destino, escaneará el sistema en busca de archivos PPT, PPTX, DOC, DOCX, XLS y XLSX. Si se detectan dichos archivos, la amenaza LaoShu se asegurará de recopilarlos en un archivo ZIP, que luego se transferirá al servidor C&C (Comando y Control) de los operadores del troyano. El malware LaoShu también puede descargar archivos del servidor C&C de los atacantes e incluso ejecutar comandos de shell. Estas capacidades adicionales permitirían al troyano LaoShu alterar la configuración del sistema o inyectar amenazas adicionales en el host infectado. Según algunos informes, se sabe que el troyano LaoShu planta un módulo que es capaz de tomar capturas de pantalla del escritorio del usuario y las ventanas activas.
El troyano LaoShu no es una amenaza que deba subestimarse. Esta es una herramienta compleja y potente que probablemente seguirá molestando a los usuarios de Apple en todo el mundo. Asegúrese de que su Mac esté protegida por una aplicación antimalware legítima.
