Investigadores de Seguridad descubren Calisto, un precursor del peligroso malware protOS de macOS



Investigadores de seguridad han descubierto un precursor del notorio malware Proton de macOS. Este supuesto precursor parece haber sido desarrollado en 2016, un año antes que Proton, y cargado en VirusTotal, donde permaneció sin ser detectado durante casi dos años hasta mayo de 2018, cuando los investigadores de Kaspersky se toparon con él.

Los investigadores que analizaron el malware usaron el término "en bruto" para describir su código y sus capacidades.

Proton se convirtió en un nombre muy conocido en la comunidad infosec en marzo de 2017 cuando los analistas de inteligencia de amenazas de Sixgill descubrieron que se vendía en un foro de hacking underground a precios que oscilaban entre $ 1,200 y $ 820,000.

Proton en pocas palabras es un RAT que gana control completo sobre el equipo de la victima, y este precursor al cual el equipo de investigación de Kaspersky bautizo como Calisto, también posee esas mismas características.

Según los investigadores, Calisto también puede habilitar inicios de sesión remotos en Mac infectadas, habilitar el uso compartido de pantalla, ganar persistencia, agregar una cuenta raíz secreta a la estación de trabajo de la víctima y recopilar archivos y enviarlos a un servidor remoto de C & C.

Pero a pesar de la presencia de algunas características bastante intrusivas, Calisto no fue tan pulido como Proton, dijeron los investigadores.



El problema más evidente fue que sus creadores parecen haber desarrollado Calisto antes de que Apple lanzara su característica de seguridad SIP (Protección de Integridad del Sistema) que evita que los usuarios / malware manipulen archivos críticos, incluso si tienen una contraseña de administrador.

"Calisto se desarrolló en 2016 o antes, y parece que sus creadores simplemente no tomaron en cuenta la tecnología entonces nueva", dijeron los investigadores.

Debido a esto, SIP puede detener fácilmente a Calisto en sus pistas cuando el malware se ejecuta en versiones modernas de macOS.

La mayoría de los usuarios de Mac, a menos que desactiven SIP, deberían estar a salvo de esta amenaza. Además, Calisto también parece haber sido abandonado por sus creadores y, por lo tanto, presenta un riesgo menor que su descendencia más peligrosa, la RAT Proton.