Check Point informa de la evolución de una variedad de malware que roba información a los usuarios de MacOS. A través de correos electrónicos falsos que contienen documentos maliciosos de Microsoft Office se engaña a las víctimas para que se descarguen la cepa de malwareSe trata de una amenaza potencial para todos los usuarios de Mac que en 2018 la marca de la manzana estimó den más de 100 millones.
Por tan solo 49 dólares en la Darknet, los hackers pueden comprar licencias para el nuevo malware, que permite obtener credenciales de inicio de sesión, recoger capturas de pantalla, registrar las pulsaciones de teclado y ejecutar archivos maliciosos.
Check Point Research (CPR) resalta que el malware bautizado como «Clonador» proviene de la famosa familia de malware «Formbook», dirigida principalmente a los usuarios de Windows, pero que desapareció de la venta en 2018. Formbook se rebautizó como XLoader en 2020. Durante los últimos seis meses, CPR ha estudiado las actividades de XLoader para concluir que es prolífico y que no se dirige sólo a Windows, sino también a usuarios de Mac.
Los hackers pueden comprar licencias de XLoader en la Darknet por un precio tan bajo como 49 dólares, lo que les permite recopilar credenciales de inicio de sesión, recoger capturas de pantalla, registrar las pulsaciones del teclado y ejecutar archivos maliciosos.
¿Cómo funciona este malware?
CPR rastreó la actividad de Xloader entre el 1 de diciembre de 2020 y el 1 de junio de 2021. Tras los análisis detectaron solicitudes de XLoader provenientes de 69 países. Más de la mitad (53%) de las víctimas residen en Estados Unidos. El desglose de las víctimas por país se presenta en el siguiente gráfico de barras:
XLoader suele propagarse mediante correos electrónicos falsos que atraen a sus víctimas para que descarguen y abran un archivo malicioso, normalmente documentos de Microsoft Office.
Para evitar la infección, CPR recomienda a los usuarios de Mac y Windows los siguientes recaudos:
- No abrir archivos adjuntos sospechosos.
- Evitar visitar sitios web sospechosos.
- Utilizar software de protección de terceros para ayudar a identificar y prevenir comportamientos maliciosos en su ordenador.
Dado que este malware es de naturaleza sigilosa, probablemente sea difícil para un ojo «no técnico» reconocer si ha sido infectado. Por lo tanto, si existe la sospecha de haber sido atacado, es recomendable consultarlo con un profesional de la seguridad o utilizar herramientas y protecciones de terceros diseñadas para identificar, bloquear e incluso eliminar esta amenaza del ordenador. Para obtener más detalles técnicos de ayuda, CPR recomienda ir a Autorun y:
- Compruebe su nombre de usuario en el sistema operativo.
- Vaya al directorio /Users/[nombre de usuario]/Librería/LaunchAgents.
- Compruebe si hay nombres de archivo sospechosos en este directorio (el ejemplo siguiente es un nombre aleatorio).
- /Usuarios/usuario/Biblioteca/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist
- Elimine el archivo sospechoso.
Periodista. Mezclo #tecnologia y ciencia que mejora la vida de las personas!
