{"id":3390,"date":"2024-11-12T21:57:01","date_gmt":"2024-11-13T02:57:01","guid":{"rendered":"https:\/\/zidrave.net\/?p=3390"},"modified":"2024-11-12T21:57:01","modified_gmt":"2024-11-13T02:57:01","slug":"hackers-norcoreanos-desarrollan-apps-con-flutter-para-burlar-la-seguridad-de-macos","status":"publish","type":"post","link":"https:\/\/zidrave.net\/index.php\/2024\/11\/12\/hackers-norcoreanos-desarrollan-apps-con-flutter-para-burlar-la-seguridad-de-macos\/","title":{"rendered":"Hackers norcoreanos desarrollan apps con Flutter para burlar la seguridad de macOS"},"content":{"rendered":"\n

Recientes hallazgos de Jamf Threat Labs<\/strong> han revelado una serie de aplicaciones maliciosas creadas por hackers norcoreanos, destinadas a atacar los sistemas macOS de Apple. Estas aplicaciones, que incluyen versiones troyanizadas de un Bloc de notas y juegos como Buscaminas, fueron desarrolladas utilizando el framework Flutter<\/strong> y firmadas con un ID de desarrollador leg\u00edtimo de Apple, logrando as\u00ed pasar los controles de seguridad de macOS y ejecutarse sin restricciones.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

C\u00f3mo operan estas aplicaciones maliciosas<\/strong><\/h3>\n\n\n\n

Las aplicaciones se centran en temas relacionados con criptomonedas<\/strong>, un \u00e1mbito de particular inter\u00e9s para los hackers norcoreanos debido a su enfoque en el robo financiero. Los investigadores sugieren que esta campa\u00f1a es m\u00e1s un experimento para eludir la seguridad de macOS que un ataque sofisticado y dirigido.<\/p>\n\n\n\n

Desde noviembre de 2024<\/strong>, Jamf descubri\u00f3 varias aplicaciones subidas a VirusTotal<\/strong> que, aunque parec\u00edan inofensivas a simple vista y pasaron los an\u00e1lisis antivirus, presentaban funcionalidades sospechosas. Estas aplicaciones conectaban a servidores de Corea del Norte<\/strong>, indicando una actividad maliciosa encubierta.<\/p>\n\n\n\n

Uso innovador de Flutter para evadir detecci\u00f3n<\/strong><\/h3>\n\n\n\n

El uso de Flutter<\/strong>, un framework desarrollado por Google que permite la creaci\u00f3n de aplicaciones nativas para m\u00faltiples sistemas operativos a partir de un solo c\u00f3digo base en Dart, les proporciona a los atacantes varias ventajas. En este caso, el malware estaba ofuscado dentro de una biblioteca din\u00e1mica (dylib)<\/strong> que el motor Flutter carga durante la ejecuci\u00f3n. Esto complica su detecci\u00f3n, ya que el c\u00f3digo malicioso se oculta eficazmente.<\/p>\n\n\n\n

Una de las aplicaciones analizadas, denominada ‘Nuevas actualizaciones en Crypto Exchange (2024-08-28).app’<\/strong>, inclu\u00eda c\u00f3digo ofuscado que permit\u00eda la ejecuci\u00f3n de AppleScript<\/strong>, permitiendo a los atacantes ejecutar scripts maliciosos desde un servidor de comando y control (C2). Al abrirse, esta app aparentemente inofensiva mostraba un simple juego de Buscaminas<\/strong>, cuyo c\u00f3digo fuente est\u00e1 disponible p\u00fablicamente en GitHub.<\/p>\n\n\n\n

Variantes en otros lenguajes y respuestas de Apple<\/strong><\/h3>\n\n\n\n

Adem\u00e1s de las aplicaciones desarrolladas con Flutter, Jamf identific\u00f3 variantes escritas en Golang y Python<\/strong>, con nombres como ‘New Era for Stablecoins and DeFi, CeFi (Protected).app’<\/strong> y ‘Runner.app’<\/strong>, esta \u00faltima presentada como una aplicaci\u00f3n b\u00e1sica de Bloc de notas. Ambas se conectaban a un dominio asociado con Corea del Norte, ‘mbupdate.linkpc[.]net’<\/strong>, y tambi\u00e9n permit\u00edan la ejecuci\u00f3n de scripts maliciosos.<\/p>\n\n\n\n

Tras la alerta de Jamf, Apple tom\u00f3 medidas revocando las firmas digitales de las aplicaciones detectadas, lo que impide que puedan eludir las protecciones de Gatekeeper<\/strong> en sistemas macOS actualizados.<\/p>\n\n\n\n

\u00bfPrueba o ataque real?<\/strong><\/h3>\n\n\n\n

Aunque a\u00fan no est\u00e1 claro si estas aplicaciones se usaron en ataques reales o si eran meramente pruebas para evaluar t\u00e9cnicas de evasi\u00f3n, la existencia de m\u00faltiples variantes similares sugiere que los actores detr\u00e1s de esta operaci\u00f3n est\u00e1n experimentando con formas de burlar la seguridad de Apple.<\/p>\n\n\n\n

Conclusi\u00f3n:<\/strong> Esta campa\u00f1a destaca la creciente sofisticaci\u00f3n de los hackers norcoreanos, quienes est\u00e1n empleando nuevas herramientas y enfoques para evadir las defensas avanzadas de sistemas macOS. La comunidad de ciberseguridad deber\u00e1 seguir atenta a este tipo de amenazas emergentes, ya que los actores de amenazas contin\u00faan evolucionando sus t\u00e1cticas para evadir los controles de seguridad de las plataformas m\u00e1s seguras.<\/p>\n","protected":false},"excerpt":{"rendered":"

Recientes hallazgos de Jamf Threat Labs han revelado una serie<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[6627,2377,2379],"tags":[6147,8975,8974,8963,8973,8972,8967,193,8968,8971,8970,8964,8969,8976,6135,8978,8965,8962,8977,8961,8966],"class_list":["post-3390","post","type-post","status-publish","format-standard","hentry","category-apple","category-ciberseguridad","category-software","tag-amenazas-persistentes","tag-aplicaciones-flutter","tag-aplicaciones-troyanizadas","tag-applescript","tag-apps-notarizadas","tag-buscaminas-macos","tag-bypass-gatekeeper","tag-criptomonedas","tag-dylib-dinamico","tag-elusion-de-seguridad","tag-espionaje-financiero","tag-firma-de-desarrollador-legitima","tag-framework-dart","tag-golang-malware","tag-hackers-norcoreanos","tag-jamf-analisis","tag-jamf-threat-labs","tag-malware-ofuscado","tag-python-apps","tag-seguridad-macos","tag-servidores-c2"],"_links":{"self":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/3390","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/comments?post=3390"}],"version-history":[{"count":1,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/3390\/revisions"}],"predecessor-version":[{"id":3391,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/3390\/revisions\/3391"}],"wp:attachment":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/media?parent=3390"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/categories?post=3390"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/tags?post=3390"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}