{"id":22293,"date":"2021-07-08T09:48:23","date_gmt":"2021-07-08T15:48:23","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=22293"},"modified":"2021-07-08T09:48:23","modified_gmt":"2021-07-08T15:48:23","slug":"nueva-version-del-malware-milum-es-capaz-de-infectar-sistemas-macos","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/nueva-version-del-malware-milum-es-capaz-de-infectar-sistemas-macos\/22293\/","title":{"rendered":"Nueva versi\u00f3n del malware Milum es capaz de infectar sistemas macOS"},"content":{"rendered":"

Hemos estado siguiendo el rastro de Milum, un troyano malicioso utilizado por el agente de amenaza avanzada persistente (APT) WildPressure y activo en el Medio Oriente, desde agosto de 2019<\/a>. Mientras investigaban uno de los \u00faltimos ataques de este agente en lo que parece ser el sector industrial, nuestros investigadores descubrieron nuevas versiones del malware escritas en diferentes lenguajes de programaci\u00f3n. Una de esas versiones cuenta con la capacidad de infectar y ejecutarse tanto en sistemas Windows como macOS.<\/p>\n

Durante la investigaci\u00f3n de amenazas, muchos descubrimientos se hacen a partir de una peque\u00f1a pista, y esta campa\u00f1a no es la excepci\u00f3n. A menudo, tan pronto un dispositivo queda infectado por un troyano, el malware env\u00eda a los servidores de los atacantes una baliza que contiene informaci\u00f3n sobre el dispositivo, su configuraci\u00f3n de red, el nombre del usuario y cualquier otra informaci\u00f3n pertinente. Esto ayuda a los atacantes a determinar si el dispositivo infectado puede ser de inter\u00e9s. Sin embargo, en el caso de Milum, este tambi\u00e9n envi\u00f3 informaci\u00f3n sobre el lenguaje de programaci\u00f3n en que el dispositivo infectado estaba escrito. Al examinar la campa\u00f1a por primera vez en 2020, los investigadores sospecharon que esto apuntaba a la existencia de diferentes versiones de este troyano en diferentes lenguajes. Con este descubrimiento, esta teor\u00eda queda confirmada.<\/p>\n

En la primavera boreal de 2021, identificamos un nuevo ataque de WildPressure, el cual se llev\u00f3 a cabo con un conjunto de versiones m\u00e1s nuevas del malware Milum. Los archivos descubiertos conten\u00edan el troyano Milum escrito en C++ y una variante de Visual Basic Script (VBScript) correspondiente. Al hacerse una mayor investigaci\u00f3n sobre este ataque, se descubri\u00f3 otra versi\u00f3n del malware escrita en Python, que fue programada para los sistemas operativos Windows y macOS. Las tres versiones del troyano ten\u00edan la capacidad de descargar y ejecutar \u00f3rdenes del operador, recopilar informaci\u00f3n y actualizarse a una versi\u00f3n m\u00e1s reciente.<\/p>\n

El malware multi-plataformas capaz de infectar dispositivos que se ejecutan en macOS es poco com\u00fan. Este esp\u00e9cimen en particular se entreg\u00f3 en un paquete que inclu\u00eda el malware, la biblioteca Python y un script llamado \u201cGuard\u201d. Esto permiti\u00f3 que el malware se iniciara tanto en Windows como en macOS con pocos esfuerzos adicionales. Una vez que infecta el dispositivo, el malware ejecuta un c\u00f3digo dependiente del sistema operativo para la persistencia y la recopilaci\u00f3n de datos. En Windows, el script se incluye en un ejecutable con PyInstaller. El troyano Python tambi\u00e9n es capaz de verificar si se est\u00e1n ejecutando soluciones de seguridad en un dispositivo.<\/p>\n

\u201cLos operadores de WildPressure mantienen su inter\u00e9s en la misma zona geogr\u00e1fica. Los autores de malware desarrollaron varias versiones de troyanos similares y tienen un sistema de control de versiones para ellos. Lo m\u00e1s probable es que la raz\u00f3n para desarrollar malware similar en varias lenguas sea disminuir la probabilidad de detecci\u00f3n. Esta estrategia no es \u00fanica entre los agentes de APT, pero rara vez vemos malware que est\u00e9 adaptado para ejecutarse en dos sistemas a la vez, incluso en forma de un script de Python. Otra caracter\u00edstica curiosa es que uno de los sistemas operativos atacados es macOS, algo sorprendente dado el inter\u00e9s geogr\u00e1fico del agente\u201d,<\/em> comenta Denis Legezo, investigador s\u00e9nior de seguridad en Kaspersky<\/strong>.<\/p>\n

Para evitar convertirse en v\u00edctima de un ataque dirigido, recomendamos:<\/p>\n