La cadena de infección comienza con usuarios que descargan y ejecutan aplicaciones crackeadas desde sitios web no confiables. Durante la instalación, el malware se coloca en la carpeta /Applications/, disfrazado como un activador para la aplicación crackeada. Una ventana de Activador engañosa solicita a los usuarios que ingresen su contraseña de administrador, permitiendo que el malware ejecute un ejecutable ‘tool’ usando la función ‘AuthorizationExecuteWithPrivileges’. El malware verifica la presencia de Python 3 en el sistema y lo instala si es necesario, aparentando ser un parche rutinario de la aplicación.
Luego, el malware contacta con un servidor de comando y control (C2) en el dominio “apple-health[.]org”. Los atacantes usan un método novedoso para comunicarse con el servidor C2, demostrando las tácticas en evolución de los ciberdelincuentes para vulnerar la seguridad de los sistemas macOS.
Source: Medium
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.