confiado encontró que las campañas de anuncios maliciosos en los EE.UU., Italia y Japón se estaban extendiendo el malware Asfalto, dirigida a los usuarios de MacOS.
Tél metas del camión de auxilio, así como su funcionalidad, aún no han sido suficientemente estudiados.“Los delincuentes cibernéticos, grupos APT, actores del estado nación, están apuntando ampliamente iOS de Apple MacOS / dispositivos, por diversas razones: la innovación y el desarrollo de plataformas de Apple continua en última instancia conduce a nuevas áreas de ataque (y más 0-día venden en el metro)”, - especialistas informe Confiant.
El ataque comienza con el anuncio malintencionado poner en marcha el código malicioso en el navegador de la víctima y redirigirla a un sitio que muestra las ventanas emergentes que indica que el usuario necesita con urgencia para instalar una actualización de software (por lo general esto es reproductor de Flash). Los usuarios que caen en este truco, Por supuesto, No recibir una actualización, pero dos de malware a la vez: OSX / Shlayer, Tanto como OSX / Asfalto.
De acuerdo con Confiant, esta campaña publicitaria Shlayer y Tarmac ha estado activo desde enero de este año. Es de destacar que los investigadores de la compañía escribió Shlayer acerca el invierno pasado, pero luego no pudieron encontrar Asfalto.
“Confiant detectó y se analizó OSX / Shlayer desde enero 2019, procedente de un malvertiser que Confiant han bautizado VeryMal. Se estima en función del alcance de nuestra cobertura que tanto como visitantes 5MM quizás han sido objeto de esta reciente campaña de malware”, - explican los especialistas Confiant.
Ahora, expertos han complementado su informe sobre esta campaña sigue activa y su carga útil.
Tarmac actúa como una carga útil de la segunda fase de la infección, Es decir, entra en juego después de Shlayer. Todas las versiones de Asfalto descubiertas por el investigador resultaron ser relativamente antigua, y los servidores de administración no funcionaban en el momento en que el malware fue descubierto (Más probable, fueron trasladados a otro lugar). Este hecho dificulta el análisis de la amenaza, y los investigadores no fueron capaces de entender completamente cómo funciona la Tarmac.
En el momento, se sabe que el Asfalto está instalado en última instancia, los anfitriones infectados por Shlayer, que recoge información sobre la configuración y el equipo de la víctima, y luego transfiere esta información a su servidor de gestión. Después de que el malware está a la espera de nuevas órdenes, pero puesto que el C&servidores acondicionado no funcionaba, que aún no fue posible determinar la funcionalidad del software malicioso. Los expertos creen que la amenaza puede ser muy peligroso, capaz de descargar e instalar aplicaciones adicionales, y se va a continuar con el estudio.
leer también: Debido a la vulnerabilidad en la API de Twitter, miles de aplicaciones de iOS están bajo ataque
Los investigadores añaden que las cargas útiles Tarmac están firmados con certificados legítimos de desarrolladores de Apple, y como un resultado, Gatekeeper y XProtect no detienen la instalación del software malicioso y no muestran ninguna advertencia.
