Mordida de seguridad: Mosyle detecta nuevos cargadores de malware escritos en lenguajes no convencionales [Exclusive]

9to5Mac Security Bite es exclusivo para ti Mosyle, la única plataforma única de Apple. Todo lo que hacemos es hacer que los dispositivos Apple sean operativos y seguros para la empresa. Nuestro exclusivo enfoque integrado de gestión y seguridad combina las soluciones de seguridad más avanzadas de Apple con el MDM de Apple más potente y moderno para un endurecimiento y cumplimiento totalmente automatizados, EDR de próxima generación, confianza cero impulsada por IA y gestión de privilegios exclusiva. en el mercado. El resultado es una plataforma unificada de Apple totalmente automatizada en la que ahora confían más de 45.000 organizaciones para poner en funcionamiento millones de dispositivos Apple sin esfuerzo y de forma asequible. Solicite un PAQUETE DE PRUEBA EXTENDIDO hoy y descubre por qué Mosyle es todo lo que necesitas para trabajar con Apple.

en el número especial de esta semana de Mordida de seguridad, MosiloApple, líder en gestión y seguridad de dispositivos, lo ha revelado en exclusiva 9-5Mac Información sobre una nueva familia de descargadores de malware para Mac. El equipo de investigación de seguridad de Mosyle descubrió que estas nuevas amenazas están escritas en lenguajes de programación no convencionales y utilizan otras técnicas sigilosas para evitar la detección.

Quien sube malware es esencialmente un “pie en la puerta” para los ciberdelincuentes. Su objetivo principal es establecer en secreto su presencia inicial en el sistema y crear una ruta para que se cargue más malware malicioso.

Las nuevas muestras de cargador de arranque descubiertas a principios de este mes se desarrollaron utilizando los lenguajes de programación Nim, Crystal y Rust, que normalmente no se utilizan para desarrollar malware. Objective-C, C++ y Bash son los más comunes. Este enfoque inusual sugiere que los atacantes intentan deliberadamente eludir los métodos tradicionales de detección de antivirus.

Aunque este enfoque está oculto, dudo que se convierta en una tendencia generalizada. Los lenguajes de programación menos populares como Nim o Rust son difíciles de utilizar para los ciberdelincuentes. Estos lenguajes pueden tener procesos de compilación más complicados que opciones probadas como C y Bash, y vienen con menos bibliotecas y herramientas listas para usar. Una curva de aprendizaje y una depuración más pronunciadas significan que es más probable que los delincuentes dejen caer accidentalmente fragmentos digitales que pueden abrir su malware. Después de todo, incluso los ciberdelincuentes quieren que su código se ejecute sin problemas, y estos lenguajes experimentales actualmente lo hacen mucho más difícil.

Se observaron otras tácticas de evasión:

• Persistencia a través del mecanismo launchctl de macOS
• Muchas horas de sueño
• Comprueba el directorio antes de transferir datos.

Según la investigación de Mosyle, la campaña de malware se encuentra en sus primeras etapas y podría tener como objetivo la inteligencia. Los datos de telemetría muestran muestras de sistemas en Bulgaria y Estados Unidos.

Curiosamente, VirusTotal no detectó las muestras durante varios días después de su descubrimiento inicial.

A continuación se muestran los hashes de tres muestras de malware con sus respectivos dominios de comando y control (C2):

Un ejemplo de Nim

Dominio C2: fresa y mango[.]com

Hash: f1c312c20dbef6f82dc5d3611cdcd80a2741819871f10f3109dea65dbaf20b07

muestra de cristal

Dominio C2: motociclincipr[.]com

Hash: 2c7adb7bb10898badf6b08938a3920fa4d301f8a150aa1122ea5d7394e0cd702

Patrón de óxido

Dominio C2: parte superior del aire acondicionado[.]com

Hash: 24852ddee0e9d0288ca848dab379f5d6d051cb5f0b26d73545011a8d4cff4066

El equipo de seguridad de Mosyle continúa monitoreando e investigando activamente estas amenazas. Continuaré brindando actualizaciones aquí a medida que sepamos más. [.] ayuda a evitar que se haga clic activamente en los dominios. El equipo de Moysle me dice que es posible que estos servidores C2 aún estén activos.

Más: Los grupos de ransomware aumentaron en el tercer trimestre de 2024 con un cambio de dominio

Folvidar: Gorjeo/X, LinkedIn, Trapos