Resumen mensual de amenazas: Apple centra los ataques de malware en abril

Categorias: General | | Sin comentarios » |

Abril ha llegado a su fin. Por eso, os ofrecemos de un vistazo un resumen de todo lo que ha sucedido durante este mes en cuanto a seguridad informática se refiere.

La botnet Flashback para Mac protagoniza el mes de abril

El descubrimiento de la  botnet Flashback, con más de 600.000 ordenadores Mac infectados, ha centrado la atención de las amenazas cibernéticas durante el mes de abril. Apple se ha visto obligada a reconocer este tipo de amenazas en sus sistemas y a lanzar una serie de actualizaciones de seguridad para mitigar la infección. El troyano Flashback se aprovechaba de una grave vulnerabilidad en Java, software que en Mac OS X se encarga de gestionar la propia Apple. La tardanza en aplicar un parche que solucionase este fallo de seguridad, que ya estaba resuelto en otras plataformas desde mediados de febrero, ha sido un factor decisivo para conseguir infectar a tantos ordenadores.

Amenazas en webs legítimas

Una de las amenazas que sigue teniendo una propagación masiva, según podemos observar en el ranking del laboratorio de ESET España, operado en exclusiva por Ontinet.com, son aquellas que se aprovechan de vulnerabilidades en webs legítimas para inyectar códigos maliciosos que los usuarios se descargan sin saberlo en sus ordenadores. Miles de páginas web son realizadas con versiones vulnerables de gestores de contenidos como WordPress, que llevan meses sirviendo como plataforma para los ciberdelincuentes para colgar sus últimas creaciones. Otro ejemplo son aquellas webs vulnerables a inyecciones SQL que pasan a engrosar las listas de webs legítimas infectadas. Tal y como ya vimos a mediados del año pasado, esta es una técnica ampliamente usada y, de vez en cuando, observamos cómo una cantidad considerable de webs se ven afectadas. En esta ocasión, en el laboratorio de ESET España se contabilizaron más de 180.000 webs infectadas, de las cuales más de 4.400 eran españolas.

El virus de la policía sigue infectando

El ransomware de la Policía siguió infectando a varios usuarios, tal y como vimos en meses anteriores. A pesar de los avisos realizados por empresas de seguridad y de las propias fuerzas policiales, han sido muchos los usuarios que han visto cómo su ordenador era bloqueado y se les chantajeaba para conseguir su desbloqueo. Este tipo de amenaza ha sido bastante prominente en los últimos meses por toda Europa y ya han aparecido otras amenazas similares que persiguen los mismos fines.

Malware en los móviles

Con respecto a las amenazas orientadas a dispositivos móviles, durante el mes de abril seguimos viendo un goteo constante de malware desarrollado, especialmente, para la plataforma Android. Este mes destacamos en el laboratorio de ESET España a RootSmart, un malware que parece una evolución de GingerMaster, otra amenaza que el verano pasado se aprovechó de una vulnerabilidad crítica de Android 2.3 (Gingerbread) con la finalidad de obtener privilegios de root en el sistema infectado.

Amenazas en formato QR

Como nota curiosa, la presentación de los Presupuestos Generales del Estado mediante un código QR hizo recordar al laboratorio de ESET España que este tipo de códigos, usados de forma masiva en publicidad, también pueden suponer una amenaza para los dispositivos móviles si no se utilizan con precaución.

Ataques a empresas y a Gobiernos

Durante el mes de abril, compañías como Nissan o VMware también sufrieron ataques que tenían como objetivo obtener información confidencial de estas empresas. Como se puede observar, no solo los grupos de hacktivistas como Anonymous son responsables de este tipo de intrusiones. Empresas rivales o los propios gobiernos también realizan labores de ciber-espionaje e incluso de sabotaje.

De la misma manera, también vimos un nuevo caso de ataque dirigido. De nuevo, Irán se encontraba en el punto de mira y varias refinerías del país fueron desconectadas de la red tras descubrirse una nueva amenaza que tenía como objetivo el Ministerio del Petróleo de ese país. Este tipo de acciones vuelven a poner en primera plana la guerra encubierta de este país de Oriente Medio con otras grandes potencias como EE.UU. y que tuvo su punto álgido con el ataque del gusano Stuxnet.

Vulnerabilidad en Hotmail

Microsoft solucionó en abril una grave vulnerabilidad en su servicio de correo Hotmail que permitía a un atacante hacerse con el control de una cuenta aprovechándose de un error en el sistema encargado de restablecer las contraseñas. Esta vulnerabilidad fue ampliamente aprovechada por atacantes en países árabes aunque podría haber sido mucho peor si Microsoft no hubiese intervenido a tiempo.

El ranking de abril

En este mes de abril, seguimos viendo a algunos sospechosos habituales que siguen afectando a diferentes usuarios, como el famoso Scrinject, Kryptik y Sirelef, y a otros resistentes que no quieren marcharse de nuestro top, como es el caso de Conficker.

Yolanda Ruiz

@yolandaruiz



Microsoft soluciona una grave vulnerabilidad en Hotmail

Categorias: Vulnerabilidades | | Sin comentarios » |

Uno de los servicios de correo más famosos, Hotmail, se ha visto afectado en las últimas semanas por una grave vulnerabilidad que permitía a un atacante resetear la contraseña de un usuario por una de su elección, pasando a controlar dicha cuenta de correo e impidiendo el propietario legítimo de la misma pudiese acceder.

Investigadores de la empresa Vulnerability-Lab informaron a Microsoft de la existencia de este grave fallo de seguridad el pasado 6 de abril, pero la existencia de esta vulnerabilidad se filtró y no han tardado en aparecer usuarios sin escrúpulos que no han dudado en comprometer cuentas de Hotmail en beneficio propio, e incluso ofrecer sus servicios para acceder de forma ilegal a cualquier cuenta por cantidades tan bajas como 20 dólares.

Microsoft confirmó ayer la existencia de esta vulnerabilidad, indicando también que lanzó un parche temporal la semana pasada, tras comprobar que estaba siendo aprovechada de forma masiva, sobre todo en países árabes del medio oriente y norte de África. Concretamente, el servicio afectado era el encargado de restablecer contraseñas del servicio MSN Hotmail.

Esta vulnerabilidad es especialmente grave para aquellos usuarios que tengan vinculados otros servicios como Paypal o Xbox Live a su Windows Live ID, aunque, a estas alturas, ya deberían ser conscientes de si su cuenta se ha visto afectada puesto que no podrían acceder a la misma.

Desde el laboratorio de ESET en Ontinet.com recomendamos revisar que podemos acceder sin problemas a nuestra cuenta de Hotmail y a los servicios que tengamos asociados con ella, contactando con su servicio de soporte en el caso de que nos hayamos visto afectados.

Josep Albors
@JosepAlbors



Atacando Smart TV no tan “inteligentes”

Categorias: Curiosidades,Hacking | | Sin comentarios » |

A principios de año y con motivo de la celebración del CES en Las Vegas me realizaron una entrevista cuanto menos curiosa al respecto de posibles amenazas que puedan afectar a una Smart TV. La periodista planteo cuestiones interesantes sobre la seguridad de estos dispositivos y si podríamos ver infecciones en este tipo de electrodomésticos a lo que contesté que todo era posible pero aun era pronto.

Al parecer pequé de precavido y, si bien no hemos visto aun ningún virus correteando por nuestras flamantes Smart TV recién adquiridas, si que se están descubriendo fallos y vulnerabilidades que podrían llegar a provocar la ejecución de código no autorizado antes de lo que pensaba.

Cuando se realizó la entrevista (mediados de enero) había leído poco aun sobre el tema y una de mis más importantes referencias era este genial post de Lorenzo Martinez, famoso por usar su poder mutante de empatía mecánica y conseguir que los electrodomésticos hagan cosas impensables para la mayoría de los mortales.

En dicho post Lorenzo explicaba como consiguió “trastear” con su recién adquirida Smart TV LG y consiguió hacer que se bloqueara o impedir que reprodujese correctamente video mediante un ataque DoS por la interfaz de red del dispositivo (ataque que después hemos visto como también afectaba a otros modelos como Sony Bravia). Pero aun fue más allá y Lorenzo consiguió “personalizar” el portal de acceso a los contenidos digitales de la TV, añadiendo opciones que no venían de serie.

Otro investigador inquieto como es Luigi Auriemma, al que recordamos, por ejemplo, por ser el creador de una prueba de concepto que se aprovechaba de la vulnerabilidad en el protocolo RDP parcheado por Microsoft el mes pasado. Recientemente se ha dedicado a realizar pruebas con la Smart TV Samsung de su hermano, descubriendo accidentalmente una forma de conseguir remotamente que la TV entre en un modo de reinicio constante que continua aunque la desenchufemos de la corriente y la volvamos a enchufar.

Como vemos, todos los casos que hemos analizado muestran ataques de denegación de servicio o maneras de aumentar las posibilidades de nuestra TV. No se conoce ningún caso de malware que se propague a través de Smart TV aunque si que hay otros dispositivos que han sido usados para tal fin. No obstante Auriemma ya avisa que, de la misma forma que él ha conseguido que el televisor entre en este loop infinito de reinicios, sería teóricamente posible preparar un ataque que se aproveche de una vulnerabilidad del tipo buffer-overflow y ejecutar código malicioso en nuestra TV.

Así las cosas, acabamos de ver como las Smart TV de diferentes fabricantes presentan alguna vulnerabilidad, pero estas no han sido aprovechadas de momento como vector de ataque para propagar malware. La pregunta que todos nos hacemos es ¿Cuándo empezaremos a ver casos de televisores infectados?. Podríamos apostar por una fecha pero yo prefiero mantener la opinión que di en la entrevista: “Cuando el mercado madure, haya una cantidad importante de dispositivos conectados y los ciberdelincuentes vean posibilidad de obtener beneficios de estos ataques”.

Josep Albors
@JosepAlbors



Nuevos ataques dirigidos a grandes empresas y gobiernos

Categorias: Espionaje,Filtraciones,Hacking | | Sin comentarios » |

Que los ataques informáticos a empresas y gobiernos se han convertido en algo frecuente no debería sorprender a nadie a estas alturas. El año pasado fue un buen ejemplo de cómo de vulnerables se puede ser ante uno de estos ataques si no se toman las medidas necesarias y este año no parece que la tónica vaya a ser diferente.

En lo que llevamos de semana hemos conocido tres importantes casos de ataques dirigidos a empresas o gobiernos. Empezamos el lunes con la noticia de un nuevo ataque sufrido por el Ministerio de Petróleo Iraní y otras empresas asociadas al mismo que habrían sufrido una infección en sus sistemas por parte de un gusano informático. De nuevo las alarmas saltaron al recordar el caso Stuxnet y corrieron ríos de tinta especulando sobre las posibles consecuencias de este nuevo ataque aunque desde las fuentes oficiales se aseguró que ningún documento oficial se había visto comprometido y que solo se desconectaron temporalmente las refinerías para evitar daños en las mismas.

Este casó ha llegado a la primera plana de muchos diarios, ya que el Irán y su programa nuclear sigue estando en el punto de mira de muchas superpotencias y cualquier noticia de un posible ataque puede hacer crecer la tensión en esa área. Pero no ha sido el único caso sonado que hemos observado recientemente.

La compañía automovilística japonesa Nissan también anunció una intrusión en la red de su empresa y la detección de un malware que tendría supuestamente la intención de robar datos confidenciales. Según las declaraciones de la propia compañía, tan pronto como se descubrió esta intrusión se tomaron medidas para eliminar este malware de la red corporativa y proteger los datos sensibles relacionados con empleados, clientes y distribuidores en todo el mundo. Ninguno de estos datos ha salido a la luz desde que se detectó la intrusión el pasado 13 de abril por lo que parece confirmarse un ataque dirigido con una finalidad claramente de espionaje.

Por último, la compañía VMware también anunció ayer por la tarde de la publicación del código fuente de uno de sus productos, concretamente VMware ESX. Cómo en otras ocasiones anteriores, el enlace desde el cual descargar esta información se está compartiendo en múltiples sitios como Pastebin y, aunque la empresa ha anunciado que esta filtración no supone un peligro para sus usuarios antiguas, siempre es desagradable que se produzcan este tipo de sucesos en grandes empresas.

Cómo vemos, este tipo de ataques dirigidos y filtraciones suponen un riesgo muy importante para empresas y gobiernos y, aunque en las últimos meses se ha hecho mucho eco de las acciones emprendidas por grupos hacktivistas como Anonymous, lo cierto es que hay otros muchos interesados en seguir realizando este tipo de ataques y robando secretos a empresas de la competencia o a gobiernos declarados como potenciales enemigos.

Josep Albors
@JosepAlbors



RootSmart: Continua el goteo de amenazas para Android

Categorias: Android,exploit,telefonía | | Sin comentarios » |

En las últimas semanas la aparición de malware para otras plataformas distintas de Windows no ha sido algo exclusivo de Mac OS. Llevamos meses observando como el número de amenazas para el sistema Android sigue aumentando preocupantemente y con visos de seguir haciéndolo.

Una de las amenazas más recientes, y que responsables del departamento de Ciencias de la Informática de la Universidad de Carolina del Norte analizan en profundidad, se ha dado a conocer como RootSmart. Este malware parece una evolución de GingerMaster, otra amenaza que el verano pasado se aprovechó de una vulnerabilidad crítica de Android 2.3 (Gingerbread) con la finalidad de obtener privilegios de root en el sistema infectado.

A diferencia de GingerMaster, esta nueva amenaza no incluye directamente el exploit dentro de la aplicación maliciosa, si no que lo descarga desde un servidor remoto para luego ejecutarlo y realizar la escalada de privilegios. Cómo vemos en la imagen, el icono de la aplicación maliciosa es idéntico al de la configuración del sistema y, una vez instalada, monitoriza cualquier evento que lo active (como una llamada) para instalar de forma silenciosa el malware en sí.

Una vez realizado este paso, el malware descarga el exploit Gingerbreak y lo ejecuta para obtener permisos de root en el sistema. De esta forma tendrá la capacidad de instalar más códigos maliciosos y conectarse a un centro de control al que enviará información y desde el que recibirá órdenes. Es esta habilidad de instalarse de forma silenciosa aprovechando una vulnerabilidad grave y de conectarse a un centro de control la que convierte a esta amenaza en especialmente peligrosa para los usuarios de Android.

Debido a que su propagación se ha observado únicamente en Markets alternativos al oficial, desde el laboratorio de ESET en Ontinet.com recomendamos desconfiar de aquellas aplicaciones descargadas de sitios no oficiales, así como revisar los permisos que solicitan las aplicaciones al instalarse y estar atentos por si observamos que alguna aplicación tiene un comportamiento extraño.

Josep Albors
@JosepAlbors



Miles de páginas web infectadas (de nuevo) por una inyección SQL

Categorias: exploit,Vulnerabilidades | | Sin comentarios » |

Tal y como vemos en los resúmenes mensuales de amenazas que publicamos en ESET, las inyecciones de código malicioso en páginas web legítimas son uno de los principales vectores de ataque actuales. Esto es debido a que hay muchos sitios web descuidados y que presentan vulnerabilidades que pueden ser aprovechadas para introducir código malicioso en las mismas, infectando a todos aquellos visitantes que accedan a esas webs y no estén debidamente protegidos.

La última de estas campañas que hemos observado ha afectado a más de 180.000 páginas web en todo el mundo (y creciendo), según la compañía de seguridad web Sucuri, siendo más de 4.000 de estas webs españolas según una búsqueda realizada en Google del script malicioso. Cabe recordar que este tipo de infección es muy similar a las que analizamos el año pasado y es muy probable que volvamos a ver en las próximas semanas.

Este tipo de infecciones son relativamente fáciles de introducir en webs legítimas por parte de los ciberdelincuentes, sobre todo porque se automatiza todo el proceso de manera sencilla usando kits de exploits. Actualmente, la web a la que se redirige con el script malicioso ya se encuentra desactivada y tanto los principales navegadores como nuestro software antivirus avisan del peligro de dicho enlace.

Como vemos, el riesgo de infección es independiente de si los sitios que visitamos son legítimos o de dudoso contenido. Debemos dejar atrás de una vez por toda la falsa sensación de seguridad que creen tener algunos usuarios al navegar solo por sitios webs “confiables”. Son ya muchos los ejemplos que hemos dado en este blog como para estar alerta siempre y desconfiar de cualquier actividad sospechosa mientras naveguemos, aunque sea en una web con buena reputación.

Josep Albors
@JosepAlbors



Sabpab: nuevo malware para Mac

Categorias: Botnets,Mac | | Sin comentarios » |

Llevamos unos días muy intensos en lo que a seguridad en sistemas Mac OS X se refiere. Tras todo el revuelo que armó el troyano Flashback con una cantidad que, según un análisis realizado en los laboratorios de ESET, podría superar los 600.000 equipos que se anunciaron en primera instancia formando parte de una botnet, en los últimos días estamos detectando una nueva amenaza para esta plataforma de nombre OSX/Sabpab.A.

Hemos detectado que este nuevo troyano usa dos vectores de ataque para infectar al sistema. Una primera variante se aprovechaba de una vieja vulnerabilidad de Microsoft Office 2004 y 2008 para Mac, usando un fichero de Word especialmente modificado para engañar al usuario e instalar el troyano en el sistema. Esta técnica está relacionada con la usada para atacar a ONGs tibetanas y que comentamos el mes pasado en este mismo blog.

Por otra parte, una variante mas reciente se aprovecha de la misma vulnerabilidad en Java que usó el troyano Flashback para infectar a sus víctimas, si bien hay una diferencia importante entre esta amenaza y la finalidad que persigue Sabpab. Si bien Flashback buscaba infectar al máximo número de equipos posibles, Sabpab está centrada en ataques dirigidos (APT), en una propagación muy pequeña pero con víctimas especialmente escogidas de las que obtener valiosa información. Esto le ha permitido a esta amenaza pasar desapercibida durante casi dos meses desde su creación.

Como vemos, el malware para Mac ha pasado de ser una anécdota a una amenaza real para los usuarios de esta plataforma y, aunque desde el laboratorio de ESET en Ontinet.com aun vemos pocos ejemplares de malware orientados a Mac, es importante que se usen medidas de seguridad adecuadas independientemente del sistema operativo.

Josep Albors
@JosepAlbors



Siguen apareciendo nuevos casos de ransomware

Categorias: ransomware | | 3 Comentarios » |

Al parecer, el ransomware que bloquea los equipos o cifra los archivos que contiene está haciendo su agosto, si nos atenemos al número creciente de muestras que estamos observando en estos últimos días. Al conocido “virus de la Policía” que tanto está dando que hablar en los últimos meses, se están uniendo otros de similares características y con la misma finalidad: hacer dinero rápido a costa de los sufridos usuarios.

Y no es de extrañar este aumento en el número de amenazas de este tipo, conocidas como ransomware o criptovirología, puesto que supone una importante fuente de ingresos de la manera más directa posible, aunque los ciberdelincuentes también pueden ser rastreados de forma más fácil.

Uno de los últimos casos que hemos venido observando en nuestros laboratorios en los últimos días es el caso de la amenaza que las soluciones de seguridad de ESET identifican como Win32/Ransomcrypt. Esta infección revisa todas las carpetas del sistema y cifra todos aquellos archivos que puedan ser considerados como importantes para el usuario como documentos, imágenes o accesos directos.

Además, a todos los archivos cifrados se les añade la extensión EnCiPhErEd y se crea un archivo de texto llamado “HOW TO DECRYPT.TXT” en todas las carpetas que contengan archivos cifrados explicando los pasos a realizar para recuperarlos, pasos que incluyen el pago de un rescate de 50€. Asimismo, la amenaza da un máximo de cinco intentos al usuario para que introduzca una contraseña correcta y, en el caso de no acertarla, deja de aceptar más intentos y se elimina a sí mismo, dejando al usuario sin poder acceder a sus datos.

Pero no es la única muestra de ransomware que hemos visto en los últimos días. También hemos observado como otra variante infecta el sistema y reemplaza el MBR original por uno propio. MBR son las siglas de Master Boot Record y consiste en una porción de código almacenada en los primeros sectores de nuestro disco duro que inicia el gestor de arranque del sistema. Si un malware de este tipo consigue modificar este sector de arranque, el usuario no podrá acceder a su sistema a menos que ceda al chantaje del ciberdelincuente y pague la cantidad solicitada.

Como vemos, este tipo de amenazas están resurgiendo con fuerza a pesar de llevar muchos años entre nosotros. Ya en 1989, el virus informático AIDS infectaba sistemas de la misma manera y solicitaba un rescate. Años más tarde, en 2005, otro ransomware conocido como GpCode obtuvo un notable éxito usando técnicas similares, incluso hemos visto ejemplos de ransomware elaborado en España. En la actualidad, el “virus de la Policía” lleva meses afectando a miles de usuarios y no son pocas las variantes como las que hemos analizado en este post.

Los motivos del resurgimiento de este tipo de amenazas no están claros pero hay algunas hipótesis que resultan interesantes de analizar. Por una parte, es muy fácil para los ciberdelicuentes crear y distribuir este tipo de malware y, viendo el número de ordenadores afectados, parece que están teniendo mucho éxito propagando esta amenaza.

Por otra parte, la creación de malware poco elaborado y que intenta monetizarse de forma lo más directa posible también denota cierta urgencia por parte de los ciberdelincuentes para obtener dinero fácil y rápido, aunque esto les exponga de forma más clara frente a una investigación para averiguar a donde va a parar todo el dinero obtenido de esta forma.

Sea como sea, desde el laboratorio de ESET en Ontinet.com recomendamos estar alerta y disponer de un antivirus actualizado para poder detectar estas amenazas. Es importante, además, no ceder nunca a este tipo de chantajes y acudir a los servicios de soporte para solucionar este tipo de incidencias. Solo así evitaremos que los ciberdelincuentes vean en este tipo de malware una manera provechosa y fácil de conseguir dinero y desarrollen más amenazas de este tipo.

Josep Albors
@JosepAlbors



Tiempo de actualizar: Windows, Adobe y Samba

Categorias: actualizaciones,Vulnerabilidades | | Sin comentarios » |

Con todo el movimiento generado en los últimos días al respecto de la gran cantidad de sistemas Mac OS afectados por el troyano Flashback, y de cómo fue aprovechada una vulnerabilidad en Java para propagarse, casi nos habíamos olvidado que otros fabricantes también han lanzado importantes parches de seguridad estos días.

En su habitual rutina de lanzamiento de actualizaciones el segundo martes de cada mes, Microsoft publicó seis boletines de seguridad, de los cuales cuatro eran considerados como “críticos” y los otros dos como “importantes”, resolviendo un total de 11 vulnerabilidades. Tras la publicación el mes pasado del parche que solucionaba la importante vulnerabilidad en la implementación del protocolo RDP, había expectación por ver si Microsoft volvía a anunciar algo de tal magnitud, pero, por suerte, no se ha producido tal hecho, aunque eso no minimiza el riesgo de las vulnerabilidades solucionadas.

Por su parte, Adobe también ha lanzado actualizaciones que solucionan una serie de vulnerabilidades críticas en los programas Acrobat y Reader en todas los plataformas que los soportan. La mayoría de usuarios de estas aplicaciones habrán recibido la notificación del parche a través del mecanismo de actualización automática que incorporan las versiones más recientes del software de Adobe, pero, en el caso de no haberlas recibido, siempre se puede acudir al enlace publicado a tal efecto en la web de Adobe.

Asimismo, el conocido software Samba que permite la interoperabilidad de programas y la comunicación entre sistemas Windows y Linux/Unix ha anunciado el descubrimiento de una vulnerabilidad grave en sus últimas versiones que permitiría a un atacante la ejecución de código arbitrario con permisos de “root” (Administrador).

Esta vulnerabilidad afecta a la versión 3.6.3 y anteriores y no necesita de una conexión autenticada para ser aprovechada, lo que, unido a la elevada implementación que tiene el software de Samba hace altamente recomendable la aplicación del parche de seguridad que soluciona este agujero de seguridad. También se ha lanzado un parche que soluciona esta vulnerabilidad en versiones más antiguas.

Como vemos, son varios los productos que han lanzado actualizaciones, siendo altamente importante que los usuarios las apliquemos. Como hemos visto recientemente en el caso del troyano Flashback para Mac, independientemente del sistema usado, siempre debemos mantenerlo actualizado para evitar males mayores.

Josep Albors
@JosepAlbors



El troyano Flashback infecta más de 600.000 Mac

Categorias: Apple,Botnets,Mac,Troyanos | | Sin comentarios » |

La Semana Santa que acabamos de dejar atrás ha estado sin duda protagonizada en materia de seguridad por el descubrimiento de más de 600.000 equipos Mac infectados con una nueva variante del troyano Flashback.

Este troyano, del cual ya hemos hablado en este blog, lleva infectando equipos con sistemas Mac OS desde mediados de 2011 y, con el paso del tiempo, mejora sus técnicas, pasando de ser un falso instalador de Adobe Flash Player en sus primeras versiones a aprovecharse de diversas vulnerabilidades en Java en la versión más reciente y que ha causado este elevado número de sistemas infectados.

Pero, ¿cómo ha podido producirse una infección tan grande (comparable a la de Conficker en Windows) en un sistema que siempre ha presumido de seguridad e inmunidad al malware? Para encontrar la respuesta, primero de todo hay que analizar uno por uno los diversos factores que han intervenido en esta infección masiva.

Por una parte tenemos a Apple y su manera de entender la seguridad. Actualmente, la compañía de la manzana no se caracteriza por la rapidez a la hora de lanzar parches de seguridad, pudiendo pasar meses entre ellos y dejando una ventana de tiempo bastante amplia para que los ciberdelincuentes hagan de las suyas.

Luego tenemos al software de Java que ha sido usado para propagar e infectar con las últimas variantes de Flashback aprovechando diversas vulnerabilidades. Estas vulnerabilidades se conocían desde hace tiempo y ya fueron solucionadas en otros sistemas operativos hace semanas mediante una actualización del software. El problema en Mac es que no es Oracle (la desarrolladora de Java) la que lanza las actualizaciones para los usuarios con una versión vulnerable, sino la propia Apple, y esta ha tardado más de lo debido.

Por último tenemos al, normalmente, eslabón más débil: el usuario. Si en sistemas Windows el engaño y el uso de ingeniería social es algo que funciona muy bien a los ciberdelincuentes, en Mac no es una excepción, acrecentado además por la falsa sensación de tener un sistema “invulnerable” cuando la verdad es que las últimas versiones de Flashback no necesitaban siquiera que el usuario introdujese su contraseña de administrador.

Ante este panorama, ¿deben los usuarios de Mac asustarse ante una inminente llegada de grandes cantidades de malware para su sistema? De momento no hay motivos para que cunda el pánico, puesto que el número de muestras que se detectan cada día de malware para Mac sigue siendo muy bajo si lo comparamos con las destinadas a afectar sistemas Windows.

No obstante, todos los laboratorios antivirus hemos visto en los últimos meses un creciente interés de los desarrolladores de malware en los sistemas Mac OS, por lo que sería aconsejable que los usuarios empezasen a tomar medidas preventivas y destierren de una vez por todas el mito de usar un sistema invulnerable.

Es por ello que desde el laboratorio de ESET en Ontinet.com nos gustaría dar una serie de consejos a aquellos usuarios de Mac que quieran obtener más información sobre cómo proteger su sistema:

  • Comprobar si nuestro sistema está infectado por el troyano Flashback. Para ello se pueden seguir las instrucciones que nuestros compañeros de Seguridad Apple han preparado para tal efecto.
  • Si no se ha hecho ya, aplicar las actualizaciones correspondientes que Apple lanzó para solucionar las vulnerabilidades en Java aprovechadas por el troyano para infectar los sistemas. Se puede forzar una búsqueda de actualizaciones desde el menú Aplicaciones > Preferencias del sistema > Actualización de software > Buscar ahora.

  • Desactivar Java. Si no se usa este software, cuyas vulnerabilidades son de las más aprovechadas actualmente para instalar malware, es recomendable desactivarlo. Para ello accedemos al menú Aplicaciones > Utilidades > Preferencias de Java y desmarcamos las casillas correspondientes a la versión de Java usada.

  • Por último, recordamos que existen varias soluciones de seguridad como ESET Cybersecurity para Mac que pueden ayudarnos a detectar y eliminar este tipo de amenazas.

En conclusión, las amenazas para Mac han dejado de ser algo anecdótico para pasar a ser un riesgo real. Con más de 600.000 sistemas infectados, Flashback ha demostrado que es perfectamente posible portar el malware que estamos acostumbrados a ver en Windows a Mac con buenos resultados. Es por ello que es necesario que tanto los usuarios como la propia Apple tomen medidas ahora que aún están a tiempo para protegerse proactivamente y evitar más infecciones de este tipo.

Josep Albors
@JosepAlbors



Artículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje