Por... DANIEL JIMENEZ
Un astuto usuario del forum Malwarebytes recientemente informó que una aplicación para monitorear los precios de las criptomonedas llamada CoinTicker, instala silenciosamente un malware en computadores Mac.
Un reciente post desde Malwarebytes por Thomas Reed, director de Mac & Mobile, explicó como un contribuyente del forum bajo el nickname de 1vladimir informó que la app llamada CoinTicker secretamente instalaba en dos procesos diferentes de las computadoras después de ser descargada una especie de virus malicioso.
Según Reed, la página de la aplicación del programa se autodenomina como “la mejor App para Mac de precios de criptos”, la cual permite a los usuarios chequear los precios de monedas virtuales seleccionadas desde la barra de menú de Mac.
“Una app para monitorear los precios de criptomonedas se ha encontrado instalando scripts maliciosos dos veces. Ambos procesos son proyectos de fuente abierta: EvilOSX y EggShell”.
La información que arroja el sitio web es que CoinTicker es una app sobre los precios de un número de criptomonedas soportadas como Bitcoin, Ethereum y Monero.
Descartando la aparente intención inocente, Reed explica como desde la aplicación se descargan e instalan componentes de dos diferentes fuentes abiertas hasta su arranque.
Los usuarios de Mac no se encuentran ciertamente familiarizados con malware relacionados a las criptos. En julio de este año una situación en la cual los usuarios de ese sistema operativo estaban chateando sobre criptomonedas en Slack and Discord fueron objetos de ataques en un esfuerzo por mostrarles como los scripts maliciosos trabajan en Mac.
Reed explicó como los componentes llamados EggShell y EvilOSX eran instalados. El publicó diferentes captures en el blog para mostrar como los programas maliciosos se reproducen ellos mismos en un computador.
Lawrence Abrams de Bleeping Computer dijo que la descarga de los virus son versiones mejoradas de EggShell y EvilOSX que fueron tomados de un repositorio offline de Github.
Mas aún, Abrams escribió como los protectores EggShell y EvilOSX automáticamente se inician una vez el usuario logea su sesión en su computador
Reed notó como EggShell and EvilOSX son una especie de espectro a bordo que es capaz de ser usado para diferentes propósitos
El admitió no saber por cierto que tenia en mente el creador del malware, pero escribió que se ve como algo que esta siendo usado para intentar obtener acceso a las wallet de los usuarios para robar sus fondos.
Según el post, Reed primero pensó en el escenario de que CoinTicker fuera un ejemplo de un ataque a la cadena de suministro. Algo así como una app legitima donde su website es hackeada para distribuir una versión maliciosa.
Un post en el blog Malwarebytes de Mayo 2017 detalla la historia detrás de ataques a la cadena de suministro en la transmisión de la app Torrent, donde fue hackeada primero para instalar el ransoware KeRanger, y luego otra vez para instalar la versión de escritorio Keydnap.
Sin embargo, Reed también sospecha que la aplicación CoinTicker nunca ha sido legitima desde el inicio.
El punto es que el dominio de la pagina de la app, coin-sticker.com fue registrada a mediados de julio y no tiene el mismo nombre de la aplicación actual.
Mas aún, Reed hace énfasis de como el malware no requiere ningún otro permiso que el de un usuario normal, citando el escenario como una “perfecta demostración que el malware no requiere privilegios para un potencial ataque”.