Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Actualización falsa del SDK de Zoom distribuye malware Sapphire Sleet en nueva cadena de intrusión en macOS


Un actor de amenazas norcoreano conocido como Sapphire Sleet ha lanzado una nueva campaña dirigida a usuarios de macOS, utilizando una actualización falsa del SDK de Zoom para engañar a las víctimas y hacer que ejecuten archivos maliciosos que roban contraseñas, activos de criptomonedas y datos personales.




A diferencia de los ataques que explotan fallos de software, esta campaña depende por completo del ingeniería social, manipulando a las personas en lugar de eludir defensas técnicas.

El ataque comienza con una historia convincente. Sapphire Sleet se hace pasar por un reclutador de empleo en plataformas de networking profesional, genera confianza a través de conversaciones sobre carreras y programa una falsa entrevista técnica.

En un momento crítico, la víctima es dirigida a descargar un archivo llamado “Zoom SDK Update.scpt”, un AppleScript compilado que se abre en la aplicación Script Editor de macOS.

Como el Script Editor es una aplicación de confianza desarrollada por Apple, macOS no genera alertas, y el usuario ve instrucciones rutinarias de actualización mientras que, bajo miles de líneas en blanco, se oculta código malicioso listo para ejecutarse.

Analistas de Microsoft Threat Intelligence identificaron esta campaña y señalaron que la combinación específica de patrones de ejecución, incluido el uso de AppleScript como componente dedicado para el robo de credenciales, no se había observado previamente en Sapphire Sleet.

Tras descubrir la actividad, Microsoft compartió los hallazgos con Apple mediante divulgación responsable, y Apple ha desplegado desde entonces actualizaciones de firmas de XProtect y protecciones de Safe Browsing en Safari para detectar y bloquear la infraestructura vinculada a esta campaña.

Sapphire Sleet apunta principalmente a individuos y organizaciones en los sectores de criptomonedas, finanzas, capital de riesgo y blockchain.

Una vez activo, el malware recopila la contraseña de inicio de sesión de la víctima, roba datos de sesión de Telegram, credenciales del navegador, claves de billeteras de criptomonedas de aplicaciones como Ledger Live y Exodus, claves SSH y bases de datos del llavero de macOS.

Todos los datos robados se comprimen y suben silenciosamente a servidores controlados por los atacantes a través del puerto 8443.

El malware elude capas de seguridad de macOS, incluyendo Gatekeeper y Transparency Consent and Control.

Al convencer al usuario de ejecutar manualmente el archivo, Sapphire Sleet traslada la ejecución a un contexto iniciado por el usuario, donde estas protecciones ya no aplican, colocando la conciencia conductual en el centro de cualquier defensa significativa.

Dentro de la cadena de infección

Una vez que la víctima abre el archivo señuelo, el ataque avanza a través de una rápida cadena de comandos.

El script invoca el binario legítimo de macOS “softwareupdate” con un parámetro inválido para imitar un proceso real del sistema, luego usa “curl” para descargar un payload remoto de AppleScript y pasarlo directamente al intérprete “osascript”.

Este patrón se repite en cinco etapas, cada una rastreada por cadenas de agente de usuario mac-cur1 a mac-cur5, lo que permite a Sapphire Sleet gestionar la entrega de payloads y monitorear el progreso de la campaña.

Árbol de procesos mostrando la ejecución en cascada desde Script Editor (Fuente - Microsoft)
Árbol de procesos mostrando la ejecución en cascada desde Script Editor (Fuente – Microsoft)

La etapa mac-cur1 actúa como orquestadora, recopilando detalles del sistema, registrando la máquina infectada en los servidores de comando y control de Sapphire Sleet, y desplegando un binario de monitoreo llamado “com.apple.cli”.

Una puerta trasera llamada “services” instala simultáneamente un daemon de lanzamiento llamado “com.google.webkit.service.plist”, nombrado para imitar de cerca servicios legítimos de Apple y Google, de modo que persista tras reinicios sin llamar la atención.

El señuelo de AppleScript con contenido engañoso y ejecución de payload (Fuente - Microsoft)
El señuelo de AppleScript con contenido engañoso y ejecución de payload (Fuente – Microsoft)

La etapa mac-cur2 entrega el recolector de credenciales, “systemupdate.app”, que muestra un cuadro de diálogo nativo de contraseña idéntico a un prompt real del sistema.

Cuando el usuario ingresa su contraseña, el malware la valida contra la base de datos de autenticación local e inmediatamente la envía a Sapphire Sleet a través de la API de Telegram Bot.

Una segunda aplicación falsa llamada “softwareupdate.app” muestra entonces un mensaje de “actualización del sistema completada” para que la víctima no sospeche.

Para acceder a datos protegidos, la etapa mac-cur3 manipula la base de datos TCC dirigiendo a Finder para renombrar temporalmente la carpeta TCC, permitiendo que el malware inserte permisos que dejan a osascript acceder a archivos sensibles sin activar un aviso de consentimiento.

Un script de exfiltración de 575 líneas recopila nueve categorías de datos y los sube a los servidores de los atacantes.

Tú y las organizaciones deberías tratar cualquier solicitud no solicitada para ejecutar comandos en la terminal durante una entrevista en línea como una señal de alerta clara.

Bloquear archivos AppleScript compilados (.scpt), auditar archivos plist de LaunchDaemon en busca de entradas inesperadas y monitorear la base de datos TCC en busca de cambios no autorizados son pasos defensivos efectivos.

Mantener macOS actualizado garantiza que las últimas firmas de XProtect de Apple y las protecciones de Safe Browsing de Safari permanezcan activas para bloquear componentes conocidos de esta campaña.



Fuentes:
https://cybersecuritynews.com/fake-zoom-sdk-update-delivers-sapphire-sleet-malware/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.