HZ RAT, un troyano de acceso remoto (RAT) que ha estado atacando dispositivos basados en Windows desde al menos 2020, se actualizó y modificó recientemente para apuntar también a los usuarios de Mac.
Una RAT suele ser un tipo de malware utilizado por los atacantes para controlar de forma remota una computadora objetivo y obtener privilegios administrativos completos.
Las RAT a menudo se entregan a los objetivos como archivos adjuntos de correo electrónico a través de correos electrónicos de phishing y, a veces, se descargan junto con aplicaciones que parecen solicitudes legítimas de los usuarios, como los videojuegos.
El 5 de septiembre, Intego anunció el lanzamiento de una nueva versión de HZ RAT diseñada para atacar entornos macOS.
Únase a un panel virtual para conocer a los CISO y obtener más información sobre el cumplimiento: unirse es gratis
Informes anteriores sobre HZ RAT indican que el host de origen del malware es China, aunque Intego no ha publicado información de atribución.
HZ RAT, una incorporación reciente a la familia de malware para Mac, es una herramienta que otorga a los atacantes acceso administrativo remoto completo. Esta RAT apareció por primera vez en PC con Windows en 2022 y ahora también llegará a Mac.
Comportamiento HZ RAT del malware macOS
Como se indica en el informe Moonlock, HZ RAT puede espiar a los usuarios y robar datos, pero su sofisticación y persistencia hacen que no sea un programa de robo legítimo. Como troyano de acceso remoto, este malware otorga al atacante privilegios administrativos remotos completos.
“Este malware puede tomar capturas de pantalla, registrar lo que escriben los usuarios, robar datos del Administrador de contraseñas de Google y comprometer WeChat y DingTalk para obtener datos de los usuarios, ambas aplicaciones Mac populares en China”, dice el informe.
Una vez instalado, el malware establece una conexión con un servidor de comando y control para obtener más instrucciones.
Esto significa que un atacante puede cargar y extraer archivos en el servidor, escribir archivos arbitrarios en el sistema o ejecutar scripts o comandos de PowerShell desde una ubicación remota.
Se cree que el nuevo malware para Mac puede propagarse mediante ataques de abrevadero, anuncios maliciosos engañosos de Google y suplantación de sitios web.
Desde una Mac comprometida, el malware puede recopilar la siguiente información:
Dirección IP local Datos del dispositivo Bluetooth Red Wi-Fi y datos del adaptador de red inalámbrica Información sobre las redes a las que está conectado el dispositivo Especificaciones de hardware Información de almacenamiento de datos Lista de aplicaciones en el dispositivo comprometido Información de los usuarios de WeChat de DingTalk y datos de la organización, nombres de usuario y sitios web de Administrador de contraseñas de Google
Aunque el malware no recopila contraseñas de Google Password Manager, se sospecha que explota las filtraciones de contraseñas robadas obtenidas en la web oscura y las combina con nombres de usuario y otros datos extraídos por el malware.
Se desconoce el verdadero propósito de este esfuerzo, aparte de la recopilación de datos. Lo que es aún más preocupante es que los proveedores de seguridad no han podido detectar este ransomware.
El nivel de detección del proveedor de seguridad es bajo (Moonlock)
Además, Intego descubrió una muestra de malware que imita la aplicación VPN OpenVPN Connect. El análisis de la lista segura revela que el malware se hace pasar por OpenVPN Connect.
Al investigar la versión para Windows de este malware en 2022, también descubrimos múltiples direcciones IP y dominios chinos asociados con las operaciones del malware.
IP vinculadas a esta campaña (Fuente: Moonlock)
Se encontró que aproximadamente el 80% de las IP de la lista estaban activas pero inaccesibles, y el 20% restante estaba inactiva.
recomendación
Para proteger su Mac de estos y otros riesgos, descargue software únicamente de fuentes confiables, como la App Store de Apple. Actualice su sistema operativo y software de seguridad, y tenga cuidado con comunicaciones, enlaces y archivos adjuntos sospechosos.
¿Forma parte de un equipo SOC/DFIR? – Pruebe el análisis avanzado de malware y phishing con ANY.RUN – Prueba gratuita de 14 días
