Nueva Variante de Proton RAT para Mac a la venta en la Dark Web

Nueva variante del Proton RAT (Remote Access Tool) es anunciada en foros de ciberdelincuencia rusa.

Expertos de la firma de seguridad Sixgill han descubierto una nueva variante del Proton RAT para Mac OS que se ofrece a la venta en mercados de ciberdelincuencia rusa.

La Dark Web es el lugar correcto donde encontrar cualquier tipo de productos y servicios ilegales, malware, tales como troyanos bancarios y spyware son muy populares en estos lugares.

Recientemente, una nueva herramienta de acceso remoto (RAT) específicamente diseñada para infectar los sistemas Mac OS está siendo anunciada. Los investigadores de la firma de seguridad Sixgill descubrieron la publicidad en los foros de la delincuencia y en un sitio web personalizado, esta amenaza también se describe en algunos videos publicados en YouTube.

La página web de Proton cayó justo después de que los expertos de Sixgill publicaran el informe.

Proton RAT apareció por primera vez en el panorama de amenazas el año pasado, la variante recientemente anunciada en foros de hacking incluye muchas características como la capacidad de ejecutar comandos de consola, acceder a la cámara web del usuario, captura de teclado (keylogging), capturar pantalla y abrir conexiones remotas SSH/VNC. El malware también puede inyectar código malicioso en el navegador del usuario para mostrar pop-ups que solicitan información a las víctimas, como números de tarjetas de crédito, credenciales de inicio de sesión y otros.

“El malware incluye privilegios de acceso root y características que permiten a un atacante obtener el control total de la computadora de la víctima. Sus capacidades incluyen: ejecución de comandos de consola en tiempo real y administración de archivos, keylogging, conectividad SSH/VNC, captura de pantalla, operación de cámara web y la posibilidad de presentar una ventana nativa personalizada solicitando información como una tarjeta de crédito, licencia de conducir y más. El malware también cuenta con la capacidad de acceso a iCloud, incluso cuando la autenticación de dos factores está habilitada “, continúa el informe.

Según el autor, Mac OS Proton RAT está escrito en Objective-C nativo y no es detectado por ninguna solución antivirus Mac OS existente.

Aquí el anuncio:

Proton RAT tiene acceso root y es capaz de eludir las características de seguridad estándar de Mac OS, también es capaz de saltar la autenticación de dos factores en las cuentas de iCloud.
Los investigadores especulan que Mac OS Proton RAT aprovecha una vulnerabilidad de día cero en el sistema operativo, pero la característica más interesante de la amenaza es que el código malicioso está firmado con certificados auténticos de Apple. Es probable que el autor haya logrado falsificar el registro en el Programa de ID de Desarrollador de Apple o haya robado las credenciales a un desarrollador de Apple.
“La verdadera amenaza detrás del software es la siguiente: El malware se envía con firmas auténticas de firma de código de Apple. Esto significa que el autor de Proton RAT de alguna manera consiguió pasar a través del proceso de filtración riguroso que Apple coloca en los desarrolladores de Mac OS de software de terceros, y obtuvo certificaciones genuinas para su programa. Sixgill evalúa que el desarrollador de malware ha logrado falsificar el registro en el Programa de ID de Desarrollador de Apple o ha usado credenciales de desarrollador robadas con ese propósito “, lee el informe.
El precio del Mac OS Proton RAT oscila entre $1.200 y $830.000 USD para todo el proyecto. Debajo de la versión anunciada en los sitios web de Proton:
Edición estándar
I) Licencia para controlar solamente una máquina remota 1) 1 BTC – sin firmar 2) 2 BTC – firmado
II) Licencia para controlar 20 máquinas remotas 1) 10 BTC – sin firmar 2) 11 BTC – firmado
III) Licencia para controlar infinitas máquinas remotas 1) 66 BTC – sin firmar 2) 76 BTC – firmado
Edición extendida
I) Licencia para controlar infinitas máquinas remotas 1) 166 BTC – sin firmar 2) 200 BTC – firmado
II) Licencia para controlar infinitas máquinas remotas en su propio servidor 1) 366 BTC – sin código fuente 2) 666 BTC – con código fuente completo
Los investigadores notaron que los autores del malware intentaron disfrazar su software espía como software de vigilancia legítimo.

Leave a Reply