Cómo minimizar las infecciones de Xagent, la última amenaza de malware para OS X
¡Feliz día de San Valentín atrasado… tu Mac se acaba de infectar con malware!
En el último compromiso con la seguridad de macOS, los investigadores han detectado un nuevo tipo de malware llamado Xagent que se propaga e infecta a las Mac. Sí, leyó bien: las Mac no se olvidan del malware.
Se sabe que Xagent registra pulsaciones de teclas, roba contraseñas, toma capturas de pantalla y, lo peor de todo, detecta la presencia de copias de seguridad de iOS, que luego se pueden usar para filtrar información confidencial almacenada en esas copias de seguridad a los actores de amenazas para comprometer aún más los datos personales almacenados. en iPhones y iPads.
Confiando en la artesanía de APT28, «los mismos piratas informáticos rusos vinculados al Comité Nacional Demócrata de EE. UU. piratean ahora Dirigiendo la atención a las computadoras Macintosh de Apple”, según la reportera sénior de CNET, Shara Tibken (CNET es el sitio hermano de Tecnopedia).
Análisis completo de Xagent por Laboratorios de Bitdefender, Intégoy Redes de Palo Alto Enfatice cómo funciona el malware y lo que se sabe hasta ahora, sujeto a una mayor investigación por parte de los investigadores de seguridad.
Sin embargo, en el momento de escribir este artículo, los detalles sobre los métodos de infección del malware y las capacidades futuras aún no están confirmados; por lo tanto, los siguientes consejos para mantenerse seguro se basan en las mejores prácticas de la industria y el conocimiento del malware para minimizar la posibilidad de infección de Xagent.
Mirar: Este malware de Mac quiere robar contraseñas y copias de seguridad de iPhone (ZDNet)
No bajes la guardia con los correos electrónicos y los archivos adjuntos en PDF
La teoría de que el malware podría ser un vector de infección parte de una Complicadoque se descubrió que infectaba Mac en septiembre de 2023 a través de una combinación de correos electrónicos enviados a objetivos específicos (también conocido como spear phishing) y contenía un PDF adjunto que contenía un código malicioso que, cuando se abría, infectaba el sistema.
Si bien este es un vector de infección común para muchos troyanos, sigue siendo importante que los usuarios practiquen hábitos de Internet seguros y no abran ni obtengan una vista previa de los correos electrónicos de remitentes desconocidos, y bajo ninguna circunstancia debe abrir una determinada persona. Las personas le envían archivos adjuntos que no conoce. sobre.
Solo instale software de desarrolladores autorizados
Si bien es comprensible que las computadoras se utilicen para hacernos la vida más fácil, el software que se ejecuta en las computadoras interactúa con una gran cantidad de datos potencialmente confidenciales y puede ser atacado o incluso diseñado por los actores de amenazas.Para minimizar este riesgo, Apple ha implementado varias técnicas a lo largo de los años, como vigilantes y Protección de integridad del sistema (SIP), que permite a los desarrolladores de software autorizados con firmas verificadas el derecho a instalar sus aplicaciones en macOS y evita que se ejecute malware al proteger los directorios del sistema de modificaciones no autorizadas por parte de aplicaciones maliciosas.
Estas tecnologías están habilitadas de manera predeterminada, pero los administradores pueden deshabilitarlas manualmente. Dada la amenaza que representa el malware introducido como troyano, configurar Gatekeeper para permitir que la tienda de aplicaciones y los desarrolladores identificados instalen software es una apuesta segura. Aún más seguro, permitir que el software de la App Store sea la mejor protección.
Ver también: ¿Crees que las computadoras Apple aún son inmunes al malware? Este nuevo ataque demuestra lo contrario (Tecnopedia)
Mantenga macOS y las aplicaciones actualizadas
Cada lanzamiento de macOS durante la última década ha proporcionado actualizaciones del sistema y parches de aplicaciones, pero todavía encuentro usuarios que ejecutan aplicaciones y sistemas operativos obsoletos.En este caso particular, Xagent no tiene documentación suficiente para corroborar las afirmaciones de la vulnerabilidad específica utilizada para ejecutar sus comandos; sin embargo, se cree que Komplex está relacionado con el vector de infección utilizado por Xagent, y que Komplex utiliza un kit de explotación para infectar hosts, por lo que mantener su sistema operativo y aplicaciones actualizados le brinda la máxima protección Vulnerabilidades y exposiciones comunes (CVE).
Supervisar los registros del cortafuegos
El firewall incorporado de Apple es mejor que nada, pero su falta de notificación requiere que los usuarios revisen los registros de la consola para determinar si su Mac ha sido infectada e intentar comunicarse con los servidores de comando y control (C&C) para cualquier número de dominios, la mayoría de ellos Al igual que una consola controlada por Apple, está diseñado para engañar a los usuarios haciéndoles creer que estas comunicaciones son legítimas.
Otra solución es confiar en aplicaciones de firewall de terceros, que a menudo son más sólidas y brindan un control detallado sobre el monitoreo de la red, incluida la detección y el informe del tráfico de red entrante y saliente para ayudar a determinar si su Mac está tratando de «golpear» la llamada. home» servidor falso o está recibiendo comandos desde muy lejos.
Algunos dominios de C&C conocidos que se usan con Xagent incluyen:
- 23.227.196[.]215
- terrones de manzana[.]organizar
- Comprobador de manzana[.]organizar
- manzana hoy[.]organizar
- Búsqueda de Apple[.]información
Instalar software anti-malware
Varias de las principales empresas de seguridad ofrecen Protección antivirus, incluidas varias aplicaciones gratuitas Conocido por evitar Xagent y admite el análisis de archivos adjuntos de correo electrónico, así como la validación de URL seguras y la protección integrada contra ransomware.
Consulte: Política de protección contra malware (Tech Pro Research)
Proteja su copia de seguridad de iOS
De forma predeterminada, iOS realiza una copia de seguridad de todos los datos del usuario en su computadora y le permite restaurarlos si es necesario. Con el aumento del uso de teléfonos inteligentes y tabletas, y la dependencia de estos dispositivos para almacenar datos privados cada vez más confidenciales, Apple agrega otra capa de protección a sus datos al brindarles a los usuarios la opción de cifrar sus copias de seguridad. disco duro.
Si bien cifrar su copia de seguridad de iOS no necesariamente evitará que alguien la copie o que los ladrones digitales la extraigan de una computadora infectada, evitará que accedan al contenido de la copia de seguridad, ya que el cifrado codifica efectivamente el contenido, haciendo que los datos sean inútiles para todos excepto aquellos que tienen la contraseña de descifrado.
Además, si protege con contraseña sus copias de seguridad de iOS (y debería hacerlo), no rompa la protección de cifrado eligiendo una contraseña que sea fácil de adivinar y fácil de descifrar: elija una contraseña larga y compleja que utilice varias claves de espacio y que sea única a todas las demás contraseñas que utilice. Tampoco almacene esta contraseña en texto sin formato en una nota adhesiva en su computadora, teléfono y/o escritorio. Recuerde: no comparta sus contraseñas con nadie y, si es posible, use un administrador de contraseñas encriptadas para almacenar claves para mayor seguridad.
Para verificar manualmente si Xagent ha pirateado su Mac, vaya a la siguiente ruta del directorio y verifique la existencia de estos archivos:
/Users/$USER/Library/LaunchAgents/com.apple.updates.plist
/Users/Shared/.local/kextd
Si es así, su computadora puede estar infectada. Debe eliminar inmediatamente los archivos de forma permanente y ejecutar un análisis de todo el sistema con un escáner antivirus para eliminar las amenazas persistentes detectadas.
