AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Crece el uso de campañas SEO y repositorios GitHub falsos para distribuir Atomic Stealer en macOS**

admin

### 1. Introducción

En las últimas semanas, diversos equipos de análisis de amenazas han detectado un repunte significativo en campañas de SEO poisoning dirigidas a usuarios de macOS. Los actores de amenazas emplean repositorios falsos en GitHub como parte de su cadena de ataque, logrando distribuir el infostealer Atomic Stealer (AMOS) a través de descargas aparentemente legítimas. Esta táctica, cada vez más sofisticada, pone en jaque a organizaciones y usuarios individuales, especialmente a quienes confían en recursos de código abierto para el desarrollo y administración de sistemas.

### 2. Contexto del Incidente

El infostealer Atomic Stealer —también conocido como AMOS— lleva tiempo en el radar de la comunidad de ciberseguridad por su capacidad para robar credenciales, datos bancarios y carteras de criptomonedas en sistemas macOS. Sin embargo, la novedad radica en el uso intensivo de técnicas de SEO poisoning y la creación de repositorios GitHub fraudulentos que imitan proyectos populares. Estas campañas están diseñadas para posicionarse en los primeros resultados de búsqueda, captando así a víctimas que buscan instalar herramientas o bibliotecas de confianza.

La táctica de SEO poisoning no es nueva, pero su aplicación masiva y específica contra usuarios de Mac supone una evolución en las TTPs observadas, en línea con el creciente interés de los atacantes por este ecosistema, tradicionalmente menos afectado por malware que Windows.

### 3. Detalles Técnicos

**Identificadores y CVEs**
Hasta la fecha, no se asocia un CVE específico al vector de ataque, ya que el compromiso se produce por ingeniería social y descarga de software malicioso, no por explotación de una vulnerabilidad en el software de Apple.

**Vectores de ataque**
1. **SEO Poisoning:** Los atacantes manipulan algoritmos de motores de búsqueda mediante técnicas black hat SEO para que páginas maliciosas (incluidos los repositorios GitHub falsos) aparezcan en las primeras posiciones.
2. **Repositorios GitHub falsificados:** Clonan o imitan proyectos legítimos (por ejemplo, herramientas de administración, utilidades de desarrollo o scripts populares) e inyectan binarios o scripts maliciosos que contienen el infostealer AMOS.

**TTP según MITRE ATT&CK**
– **Initial Access (T1190, T1566.002):** Spear phishing mediante SEO y descarga directa.
– **Execution (T1204):** Ejecución de binarios o scripts maliciosos, generalmente .dmg, .pkg o scripts .sh.
– **Credential Access (T1555, T1552):** Robo de contraseñas almacenadas y extracción de cookies, llaveros y credenciales de navegador.
– **Collection (T1119):** Recolección de archivos sensibles, wallets y datos del sistema.
– **Exfiltration (T1041):** Exfiltración a C2 cifrado, a menudo mediante HTTP/HTTPS.

**Indicadores de Compromiso (IoC):**
– Dominios y URLs de descarga no oficiales con nombres similares a proyectos populares.
– Hashes de archivos .dmg y .pkg modificados.
– Conexiones salientes a infraestructuras C2 conocidas asociadas a AMOS (IPs, dominios).

**Herramientas y Frameworks Observados:**
– Uso de scripts automatizados para la generación masiva de repositorios y posicionamiento SEO.
– No se han detectado exploits públicos en Metasploit o Cobalt Strike para esta campaña; el vector es puramente social.

### 4. Impacto y Riesgos

El impacto de estas campañas es considerable:
– **Usuarios de macOS:** Pérdida de credenciales, robo de carteras de criptomonedas, exfiltración de datos personales y bancarios.
– **Empresas:** Exposición de credenciales corporativas, acceso no autorizado a sistemas internos y posibles incidentes de ransomware o movimiento lateral.
– **Estadísticas:** Según estimaciones recientes, el 12% de los incidentes reportados en macOS durante el primer semestre de 2024 están relacionados con infostealers. Atomic Stealer ya ha sido vinculado a pérdidas económicas superiores a los 10 millones de dólares a nivel global.

### 5. Medidas de Mitigación y Recomendaciones

– **Verificación de fuentes:** Descargar siempre software desde páginas oficiales o repositorios verificados.
– **Revisión de repositorios:** Analizar el historial de commits y la reputación del autor en GitHub antes de ejecutar binarios.
– **Restricciones de Gatekeeper:** Mantener activas las configuraciones de seguridad predeterminadas de macOS (Gatekeeper y XProtect).
– **Monitorización de endpoints:** Implementar EDRs con capacidades para macOS, y monitorizar los IoC asociados a AMOS.
– **Actualizaciones regulares:** Mantener el sistema operativo y todas las aplicaciones actualizadas.
– **Sensibilización y formación:** Realizar campañas de concienciación para desarrolladores y usuarios internos sobre los riesgos de ingeniería social y descargas de software.

### 6. Opinión de Expertos

David Barroso, CTO de CounterCraft, advierte: “El uso de repositorios falsos en GitHub es especialmente peligroso para entornos de desarrollo, ya que los atacantes aprovechan la confianza en el software open source para propagar malware de forma masiva. Las empresas deben reforzar sus controles de cadena de suministro y revisar cualquier dependencia externa”.

Por su parte, Patricia Arias, analista SOC, destaca: “El aumento de infostealers en macOS demuestra que los atacantes ya no consideran este sistema operativo como un objetivo menor. La monitorización continua y la inteligencia de amenazas son esenciales para anticipar este tipo de campañas”.

### 7. Implicaciones para Empresas y Usuarios

Empresas sujetas a GDPR y NIS2 deben extremar la vigilancia ante posibles fugas de datos sensibles derivadas de este tipo de ataques. La incorporación de controles adicionales en la cadena de suministro de software será clave para evitar compromisos a gran escala. Para usuarios, el principal riesgo reside en la pérdida de control sobre identidades digitales y activos financieros.

La tendencia muestra que los actores de amenazas seguirán perfeccionando técnicas de SEO poisoning y suplantación de proyectos open source, por lo que se recomienda fortalecer las políticas de seguridad y revisión de código y binarios externos.

### 8. Conclusiones

La propagación de Atomic Stealer mediante campañas de SEO poisoning y repositorios falsos en GitHub supone una amenaza real y en expansión para el ecosistema macOS. La confianza en el software open source y los motores de búsqueda puede convertirse en un vector de ataque si no se adoptan controles y buenas prácticas de seguridad. El refuerzo de la seguridad en la cadena de suministro, la formación y la monitorización activa son medidas imprescindibles para mitigar el riesgo en un contexto donde la sofisticación de los atacantes no deja de aumentar.

(Fuente: www.darkreading.com)