Investigadores de ciberseguridad han descubierto una nueva pieza de malware para Mac llamada OSX/CrescentCore. El malware se distribuye en forma de imagen de disco DMG (formato utilizado en los sistemas con MacOS), enmascarado como un instalador de Flash Payer con el objetivo de evadir la detección de los antivirus.
Los investigadores son los mismos responsables del descubrimiento de OSX/Linker, y han detectado a CrescentCore en varios sitios web. Como se mencionaba, el malware está camuflado como instalador de Flash Player para evitar la detección y permitir una fácil instalación en el sistema de la víctima. El nuevo malware se observó por primera vez en un sitio que pretendía compartir copias digitales de cómics de forma gratuita.
También se observaron resultados de búsquedas en Google que redirigen a través de múltiples sitios, que finalmente llevan a una página (alojada en una gran cantidad de dominios), la cual contiene advertencias llamativas sobre Adobe Flash Player en donde supuestamente necesita ser actualizado, lo que en realidad es un sitio de distribución de malware. Los sitios infectados que están involucrados en la distribución del malware ofrecen principalmente versiones gratuitas de películas, programas de televisión, música y libros.
CrescentCore se distribuye como un troyano a través de un archivo de imagen de disco DMG, enmascarado como un actualizador de Adobe Flash Player. Si un usuario abre el archivo de imagen de disco DMG y abre la aplicación Falsa de Adobe, el troyano comprobará primero si se está ejecutando dentro de una máquina virtual (VM). Los autores de malware en algunas ocasiones implementan la detección de VM’s, para dar otro comportamiento y dificultar el análisis de la amenaza.
El troyano verifica si algún programa antivirus de Mac está instalado en la máquina de la víctima. Si encuentra algún antivirus o si se ejecuta en un entorno de VM, el malware simplemente se cerrará y no continuará su proceso.
Por último, se ha descubierto una segunda variante del malware CrescentCore; dependiendo de la variante, el troyano puede instalar en la máquina de la víctima el software Rogue Advanced Mac Cleaner o una extensión maliciosa en el navegador Safari. Ambas versiones de CrescentCore están firmadas por certificados asignados a un desarrollador con nombre Sanela Lovic.
COMENTARIOS