Inicio / Para Expertos / Mac CryptoCurrency Price Tracker Atrapado al instalar puertas traseras

Mac CryptoCurrency Price Tracker Atrapado al instalar puertas traseras

Un troyano que se hace pasar por un teletipo de criptomoneda macOS llamado CoinTicker está instalando puertas traseras en las macs de usuarios confiados.

Cuando se instala, la aplicación CoinTicker permite a los usuarios seleccionar varias criptomonedas cuyos precios les gustaría monitorear. Luego agregará un pequeño widget informativo a la barra de menú de macOS como se muestra a continuación que actualiza los precios a medida que cambian.

Aplicación de la moneda Coin Ticker Mac
Aplicación CoinTicker Trojan

Sin embargo, en segundo plano, la aplicación está descargando secretamente dos puertas traseras en el mac infectado que le permite a un atacante tomar el control remoto de la computadora.

Localizado por primera vez por un miembro del foro de Malwarebyte llamado 1vladimir , cuando se ejecuta, el troyano se conecta a un host remoto y descarga numerosas secuencias de comandos de Python y shell que, cuando se ejecutan, descargan e instalan dos puertas traseras en la computadora infectada.

“Sin embargo, cuando se lanzó, la aplicación descarga e instala componentes de dos puertas traseras de código abierto diferentes: EvilOSX y EggShell”. declaró el Director de Mac & Mobile Thomas Reed de Malwarebyte en una publicación de blog .

 

 

Google prohíbe las apps de minado de criptomonedas para Android

 

 

El troyano descargará versiones personalizadas de las  puertas traseras de EggShell y EvilOSX desde un repositorio de Github que desde entonces se ha desconectado.

Primero, descargará la puerta trasera de EggShell usando el siguiente comando.
Descargar EggShell
Descargar EggShell

Una vez que ha terminado, Reed ha declarado que creará un agente de inicio que inicia automáticamente la puerta trasera de EggShell cuando un usuario inicia sesión en el mac.

Crear agente de lanzamiento
Crear agente de lanzamiento

Luego, descargará el   backdoor EvilOSX utilizando un script ofuscado, que se limpia parcialmente a continuación. Al realizar la descarga, enviará varias opciones de configuración que se agregarán automáticamente a la puerta trasera descargada.

Descargar EvilOSX
Descarga EvilOSX con configuración personalizada

También se creará un agente de inicio para que el backdoor EvilOSX se inicie automáticamente.

No se sabe si la aplicación Coin Ticker fue diseñada exclusivamente para propósitos maliciosos o si ha sido comprometida por los atacantes. Sin embargo, el sitio web no tiene ninguna información de contacto y solo contiene un botón de descarga, lo que me lleva a creer que es un shell creado exclusivamente para la distribución del troyano.

Sitio web de CoinTicker
Sitio web de CoinTicker

Comenta y comparte con nosotros en nuestra red social, Facebook .

Fuente: bleepingcomputer

Vea También

GhostDNS: el nuevo botnet de cambiador de DNS secuestró más de 100.000 enrutadores

Investigadores chinos de ciberseguridad han descubierto una campaña de malware extendida y en curso que …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.