El malware de OSX/Dok llega a Macs; Ignora el gatekeeper de Apple


Los investigadores de seguridad de TI de Checkpoint descubrieron recientemente que un nuevo malware ha comenzado a aumentar y está dirigido a dispositivos Mac . El malware se considera bastante potente, ya que puede pasar por alto el gatekeeper de Apple y efectivamente robar las credenciales de los usuarios.

Apple se apresura a revocar certificados comprometidos

Es relativamente raro oír noticias de que los dispositivos Mac están comprometidos debido al malware. Por lo general, Windows se infecta.

Sin embargo, tal vez debido a la creciente popularidad de los dispositivos de Apple, los ciberdelincuentes han comenzado a cambiar su enfoque de Windows a Mac, haciendo que los usuarios se den cuenta de que Mac no es tan seguro como se cree que es.

De acuerdo con una entrada en el blog de Checkpoint, una de las cosas que los investigadores señalaron es que los creadores del malware están comprando tantos certificados de Apple como pueden.

Esto se debe a que adjuntar el certificado con el malware para que pueda pasar por alto el gatekeeper de Apple, que es esencial, lo único que mantiene alejado el software malicioso de entrar en los dispositivos.

Tan pronto como Apple fue informado de esto, se apresuró a revocar los muchos certificados que cree que han sido comprometidos. Sin embargo, nuevos certificados aparecen en la escena a una velocidad cada vez mayor.

¿Cómo funciona el malware?

El malware se detectó por primera vez en mayo de este año. Sin embargo, en ese momento, todo lo que hizo fue robar credenciales de sitios web y espiar el tráfico de red. La nueva versión, por otro lado, tiene muchas capacidades superiores.

El malware imita los sitios web bancarios conocidos con el fin de engañar a los usuarios para que introduzcan sus credenciales. La estafa comienza por engañar al usuario en la descarga de archivos infectados en correos electrónicos de spam.

Tan pronto como se instala el malware, desactiva todos los protocolos de seguridad para que no se detecte y comience a redirigir todo el tráfico de los servidores de Apple a la máquina local en sí. La eliminación del malware es difícil ya que se integra firmemente en el sistema de Apple.

Posteriormente, se conecta a su centro de comando y control a través de una conexión habilitada con TOR y lee la dirección IP del dispositivo de la víctima. Esto le permite adaptar su infección en consecuencia. Por ejemplo, el malware presentará sitios web falsos de bancos que están presentes en la ubicación específica de la víctima.

El malware no sólo le pide al usuario que introduzca sus credenciales como parte del registro en los sitios web falsos, sino que también hace que el usuario descargue una aplicación de mensajes legítima llamada Signal. A las víctimas se les pregunta por sus números de teléfono para obtener la autenticación de SMS para esto.

¿Por qué Signal?

Aunque se desconoce el propósito de hacer que los usuarios descarguen la aplicación de mensajería, los investigadores creen que podría utilizarse para realizar más actividades fraudulentas o quizás permitir al atacante evaluar la tasa de éxito de la estafa supervisando el número de descargas.

En cualquier caso, el atacante puede rastrear toda la comunicación de la víctima a través del malware.

Similitudes con Retefe

Retefe era un troyano que apuntaba a Windows de la misma manera que OSX/Dok apunta a Mac. Como tal, los investigadores creen que Retefe ha sido esencialmente portado de Windows a Mac.

Esto es bastante preocupante, ya que los investigadores predicen que más de este tipo de malware se transporta desde Windows a Mac. Dado que Mac no tiene los protocolos de seguridad necesarios para prevenir las infecciones de este tipo de malware, puede ser bastante catastrófico para los usuarios de Mac en el futuro.

Los usuarios pueden seguir estando seguros

A pesar de la poderosa amenaza que el malware representa para los usuarios de Mac, todavía no es una gran preocupación ya que el malware se basa en una forma muy básica de ingeniería social para ejecutarse.

Es decir, el usuario necesita descargar el archivo ejecutable de un correo electrónico de phishing. Siempre y cuando los usuarios sean conscientes de los mensajes de spam de direcciones desconocidas, las infecciones pueden ser limitadas.

Vía |hackread

log in

reset password

Back to
log in