En vez de trabajo: datos y dinero robados. En aplicaciones falsas para entrevistas online se oculta un troyano ladrón que ataca a usuarios de macOS y Windows

Últimas noticias | Todas las noticias | Sobre los virus

Los expertos de Doctor Web advierten sobre la propagación del troyano JobStealer, que roba información confidencial de usuarios de ordenadores con macOS y Windows. Su principal objetivo es el robo de datos de monederos de criptomonedas. Bajo el pretexto de realizar entrevistas online, los estafadores atraen a posibles víctimas a sitios web maliciosos donde les ofrecen instalar una aplicación de videoconferencia. En realidad, ese software es el propio troyano JobStealer.

El ataque comienza cuando los delincuentes contactan con posibles víctimas y les ofrecen una determinada vacante. Invitan a los usuarios a realizar una entrevista y les proporcionan enlaces a sitios web de supuestas «plataformas» para reuniones online, supuestamente para conectarse a una videoconferencia. Estos sitios parecen profesionales, pero en realidad son fraudulentos. Desde ellos se descarga el malware JobStealer bajo la apariencia de un programa para conferencias online. Además, los ciberdelincuentes utilizan varios diseños para estos recursos web y cambian también el nombre del propio programa. Nuestros expertos han encontrado variantes con nombres como MeetLab, Juseo, Meetix, Carolla y otros. En algunos casos, los ciberdelincuentes utilizan nombres de servicios reales, como Webex.

#drweb #drweb 

Unos ejemplos de sitios web de falsos servicios de conferencias online desde los que se descarga JobStealer

Para que los usuarios crean que las plataformas funcionan realmente, los estafadores crean canales correspondientes en Telegram y cuentas en redes sociales, por ejemplo en X.

#drweb #drweb 

Para hacer pasar el troyano por software legítimo, los delincuentes imitan actividad en las redes sociales

Para instalar el programa en dispositivos con macOS, a los visitantes de los sitios maliciosos se les ofrecen dos opciones:

  • copiar y ejecutar en el terminal el comando bash indicado en el sitio web;
  • descargar un archivo de imagen de disco en formato .dmg y ejecutarlo.
#drweb 

El troyano JobStealer se descarga desde sitios maliciosos tanto en forma de contenedor dmg como mediante la ejecución de un comando bash en el terminal

En el primer caso, al ejecutar el comando en el terminal, se descarga automáticamente de Internet y se ejecuta un script que descarga y lanza el archivo ejecutable de JobStealer (detectado como Mac.PWS.JobStealer.1).

En el segundo caso, la imagen dmg ofrecida para descarga ya contiene los archivos mencionados anteriormente. Al montarla, muestra instrucciones para la «instalación» de la aplicación. En ellas se indica que el usuario debe abrir el terminal y arrastrar al mismo la secuencia de comandos incluida. En realidad, en vez de instalar el software de videoconferencia, el script ejecutará el archivo troyano.

#drweb 

Una imagen con instrucciones que se muestra al abrir el archivo de imagen con el troyano JobStealer

Mac.PWS.JobStealer.1 es un archivo ejecutable contenedor en formato Fat Mach-O y contiene código binario para varias arquitecturas de procesador a la vez: x64 y arm64. En función de la plataforma del ordenador infectado, al ejecutar el troyano se utiliza automáticamente el componente correspondiente al procesador de destino.

Cabe señalar que existen varias versiones de Mac.PWS.JobStealer.1. Las variantes más antiguas del malware no eran compatibles con ordenadores Mac con arquitectura arm64. Además, carecían de ofuscación, que los creadores del malware comenzaron a añadir y reforzar conforme actualizaban el stealer.

Tras ejecutarse, Mac.PWS.JobStealer.1 muestra una ventana de phishing en la que informa de un supuesto error de funcionamiento. Para «solucionarlo», el malware solicita al usuario que introduzca la contraseña de su cuenta.

#drweb 

Una ventana de phishing en la que se solicita la contraseña de la cuenta del usuario de Mac

Posteriormente Mac.PWS.JobStealer.1 recaba los datos siguientes:

  • versión del sistema operativo y el identificador del ordenador;
  • datos de unas 300 extensiones de navegador de monederos de criptomonedas instaladas en los navegadores objetivo basados en Chromium (Chrome, Opera, Brave, OperaGX, Vivaldi, Edge, Arc, CocCoc);
  • archivos cookie de estos navegadores;
  • contraseñas y datos de tarjetas bancarias guardados en las listas de autocompletado del navegador;
  • archivos del messenger Telegram de los directorios /Library/Application Support/Telegram Desktop/tdata y /Documents/temp_data/Apps/Telegram donde se almacenan claves de sesión de autorización, archivos descargados, etc.;
  • notas del usuario de la aplicación Notes nativa de macOS;
  • presencia en el sistema de las aplicaciones de monederos de criptomonedas Ledger Live y Trezor Suite.

Estos datos se almacenan en un archivo ZIP y se cargan en el servidor C2.

Los creadores de virus también han preparado una versión del troyano JobStealer para ordenadores con sistema operativo Windows. Su funcionalidad es similar a la de la versión para macOS. Además, en algunos sitios maliciosos que distribuyen el stealer existen secciones para descargar la aplicación para otros sistemas operativos populares. Sin embargo, por el momento nuestros analistas de virus no han detectado su distribución. Por ejemplo, el botón de descarga para Linux está inactivo o redirige a la versión del troyano para Windows. Y en las secciones de descarga para dispositivos con iOS y Android se indica que esas versiones están en desarrollo. No obstante, no se puede descartar que en el futuro los atacantes comiencen a distribuir variantes del troyano también para estas plataformas.

#drweb 

Los sitios web maliciosos podrían distribuir potencialmente versiones del troyano JobStealer para Linux, iOS y Android

Todas las modificaciones conocidas del malware JobStealer son detectadas y eliminadas de forma fiable por los productos antivirus Dr.Web Security Space para macOS y Windows, y no son de amenaza para nuestros usuarios. Los sitios fraudulentos que distribuyen el troyano han sido añadidos a la base de recursos no recomendados y peligrosos, y también son bloqueados por Dr.Web.

MITRE ATT&CK®

Hemos analizado el malware JobStealer utilizando el framework MITRE ATT&CK®, que consiste en una matriz con descripciones de las tácticas y técnicas empleadas por los ciberdelincuentes para atacar sistemas de información. Como resultado, se identificaron las siguientes técnicas clave:

EtapaTécnica
Ejecución

Ejecución con intervención del usuario (T1204)

Copiado y pegado malicioso (T1204.004)

Archivo malicioso (T1204.002)
Detección Detección de archivos y directorios (T1083)
Recopilación de datos

Recopilación automatizada (T1119)

Datos del sistema local (T1005)

Credenciales de almacenes de contraseñas (T1555)

Credenciales del llavero (T1555.001)

Credenciales de navegadores (T1555.003)

Captura de entradas del usuario (T1056)

Captura de entradas en la interfaz gráfica de usuario (T1056.002)

Archivado de los datos recopilados (T1560)
Mando y control Servicio web (T1102)
Exfiltración de datos

Exfiltración automatizada (T1020)

Exfiltración a través del canal de mando y control (T1041)

Exfiltración mediante servicio web (T1567)

Más información sobre Mac.PWS.JobStealer.1

Indicadores de compromiso

0
Últimas noticias Todas las noticias