Malware disfrazado de CleanMyMac roba datos confidenciales en equipos macOS

Este software malicioso accede a información sensible, comprometiendo datos personales y financieros, según han alertado desde MoonLock Lab.

Guardar

Interfaz de la aplicación de limpieza CleanMyMac (Foto: CleanMyMac)
Interfaz de la aplicación de limpieza CleanMyMac (Foto: CleanMyMac)

Investigadores han descubierto un malware dirigido a dispositivos macOS que está incluido en una aplicación fraudulenta que se hace pasar por CleanMyMac para acceder al sistema y robar datos confidenciales, como los almacenados en el navegador y los relacionados con billeteras de criptomonedas.

CleanMyMac es una herramienta de limpieza enfocada a eliminar ficheros innecesarios, cachés antiguas o descargas interrumpidas, así como archivos en desuso de servicios como el email o la aplicación de Fotos.

Investigadores de MoonLock Lab han descubierto una muestra de malware que consiguió evadir los sistemas de detección de VirusTotal y que está dirigida a equipos macOS, según ha avanzado en su blog.

Se trata de una carga útil maliciosa que se distribuye a través de la aplicación ilegítima CleanMyMacCrack, que los usuarios instalan en sus ordenadores creyendo que se trata de CleanMyMac y cuya cadena de infección comienza al descargar este servicio.

La siguiente etapa arranca con la ejecución de un archivo denominado Mach-O, que descarga un AppleScript capaz de hacerse con información confidencial del equipo y lo ejecuta usando el comando del sistema.

Este software malicioso es capaz de recopilar información del usuario, como su nombre, los datos de navegadores como Chrome, Brave, Vivaldi, Opera o Edge; así como extraer su información de billeteras de criptomonedas.

MoonLock ha indicado que entre las carteras objetivo de los ciberdelincuentes se encuentran Atomic Wallet, Coinomi, Electrum, Exodus, TonKeeper, Binance, Dogecoin Core, Guarda Wallet, Dash Core o Electrum-LTC.

El script malicioso también recopila datos del Llavero de macOS, una aplicación nativa que almacena contraseñas e información de la cuenta de usuario. Asimismo, toma datos de la app Apple Note y roba cookies de Safari.

Los investigadores también han adelantado que este malware está vinculado a un actor de amenazas conocido como Rodrigo4 y que emplea métodos de evasión avanzados, por lo que representa un peligro para los usuarios de macOS.

Por ello, han recomendado tener cuidado con las descargas de aplicaciones de fuentes no confiables, mantener el software del ordenador actualizado para contar con los correspondientes parches de seguridad y utilizar programas antimalware.