DigitStealer: nuevo malware para macOS que ataca Macs con chips M2 y roba datos

Investigadores de Jamf Threat Labs han detectado un nuevo malware llamado DigitStealer que se dirige a usuarios de macOS, en particular a equipos recientes con chips Apple Silicon M2. El programa malicioso se distribuye mediante un archivo DMG que se hace pasar por una aplicacion legitima llamada « DynamicLake » y se instala tras ejecutar un comando en la Terminal.

Modo de distribucion

La campaña comienza en un sitio web fraudulento que aloja un archivo DMG. La instalacion solicita al usuario que arrastre un elemento hacia la Terminal, accion que ejecuta un script remoto. Ese script descarga y lanza DigitStealer en memoria.

Verificaciones de hardware para seleccionar objetivos

A diferencia de muchos malwares que apuntan a equipos antiguos, DigitStealer busca especificamente Macs recientes. Para ello, el script consulta el procesador con comandos del sistema (sysctl) y comprueba la presencia de funciones ARM asociadas a las puestas en el mercado con las CPUs M2. Entre las caracteristicas verificadas figuran BTI, SSBS, ECV y RPRES.

Gracias a esas comprobaciones, el malware evita ejecutarse en Macs con procesadores Intel, en modelos con chip M1 y en maquinas virtuales. El codigo tambien revisa la region configurada en el sistema y se niega a ejecutarse en ciertos paises, probablemente para reducir el riesgo legal para los atacantes.

Funcionamiento y robo de datos

DigitStealer opera enteramente en memoria para eludir muchas detecciones basadas en archivos. Despliega cuatro modulos sucesivos, descargados y ejecutados en la RAM:

• Modulo 1: Muestra una ventana falsa de sistema para solicitar la contrasena del usuario y recopila documentos desde el Escritorio, la carpeta Descargas y la aplicacion Notas.
• Modulo 2: Extrae datos de navegadores (Chrome, Brave, Edge, Firefox); de carteras de criptomonedas (Ledger, Electrum, Exodus); contrasenas del llavero de macOS; configuraciones VPN (OpenVPN y Tunnelblick); y sesiones de Telegram. Toda esa informacion se envia al dominio goldenticketsshop.com, una imitacion del sitio legiti mo goldenticketshop.com.
• Modulo 3: Manipula la aplicacion Ledger Live reemplazando un archivo interno que descarga en tres fragmentos y luego fusiona, tecnica destinada a evadir detecciones basadas en el analisis de archivos completos.
• Modulo 4: Instala una puerta trasera persistente que consulta un servidor de comando cada 10 segundos para recibir instrucciones. La direccion del servidor se resuelve via un registro DNS, lo que permite a los atacantes cambiar el comportamiento del malware sin modificar el codigo instalado.

Recomendaciones para usuarios

• No ejecutar comandos o arrastrar elementos a la Terminal solicitados por fuentes no verificadas.
• Evitar instalar aplicaciones desde sitios no oficiales; preferir la App Store o distribuidores confiables.
• Mantener macOS y las aplicaciones actualizadas y usar soluciones de seguridad cuando proceda.
• Si se sospecha de una infeccion, desconectar la red, cambiar contrasenas desde un dispositivo seguro y contactar a un servicio de respuesta ante incidentes.

Jamf Threat Labs sigue investigando la campaña y los metodos usados por DigitStealer. La caracteristica de apuntar a hardware M2 y el uso de ejecucion en memoria hacen de esta amenaza un ejemplo de como los atacantes adaptan tecnicas para evitar analisis y deteccion.