• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (69)
  • adware (5)
  • Android (20)
  • Anuncios (42)
  • Apple (32)
  • backdoor (7)
  • BlackHat SEO (5)
  • Botnets (59)
  • Cálico Electrónico (48)
  • certificados (4)
  • Cibercrimen (3)
  • Clickjacking (10)
  • Curiosidades (54)
  • Cyberwar (22)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (117)
  • email (11)
  • entrevista (7)
  • Espionaje (45)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (101)
  • Facebook (57)
  • Filtraciones (74)
  • General (153)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (30)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (19)
  • Linux (1)
  • Mac (24)
  • Malware (290)
  • Mensajería (1)
  • PDF (2)
  • Phishing (73)
  • Piratería (8)
  • Privacidad (78)
  • Productos (42)
  • ransomware (11)
  • redes sociales (110)
  • rogue (26)
  • rootkit (2)
  • Scada (8)
  • Scam (26)
  • scareware (3)
  • seguridad (126)
  • sorteos (4)
  • Spam (147)
  • spyware (6)
  • telefonía (57)
  • timos (10)
  • Troyanos (37)
  • Tutoriales (23)
  • Twitter (10)
  • Unix (5)
  • Vulnerabilidades (289)

• Archivos

  • junio 2013 (18)
  • mayo 2013 (23)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Seguridad en iOS 7: una de cal y otra de arena

Cuando se presentó iOS 7 el pasado lunes, muchos usuarios quedaron sorprendidos por la cantidad de nuevas características que incorporaba, aunque algunas de ellas estén incluidas en otros dispositivos desde hace tiempo (sí, te estamos mirando a ti, Control Center).

No obstante, como apasionados de la seguridad que somos, nos centramos en revisar qué nuevas opciones incorporaba esta versión de iOS para mantener seguro nuestro iPhone. Es en este aspecto donde tenemos que informar de una noticia de cal y otra de arena.

En la parte positiva tenemos el Activation Lock, una nueva característica que evita que un usuario no autorizado pueda desconectar nuestro iPhone del servicio de Apple Find my iPhone. Hasta ahora, si nos robaban el móvil podíamos intentar recuperarlo usando este servicio, pero, por desgracia, muchos amigos de lo ajeno descubrieron que apagando el dispositivo y devolviéndolo a sus valores predeterminados de fábrica se podía evitar su localización.

Para evitar esta situación nace Activation Lock, una nueva funcionalidad que obliga a proporcionar nuestro usuario y contraseña de iCloud siempre que queramos desconectarnos del servicio Find my iPhone o queramos restaurar el terminal a sus valores predeterminados de fábrica. En caso de no proporcionar los datos correctos, el terminal quedaría bloqueado y sin ninguna utilidad para el ladrón, más allá de ser un elegante y caro pisapapeles.

Pero no todo iba a ser tan bonito, y conociendo la experiencia de Apple y su dispositivo estrella en materia de bloqueo del terminal, no nos extraña que ya se haya conseguido saltar la pantalla de  bloqueo y se permita acceder a nuestra galería fotográfica. En esta ocasión ha sido un investigador español quien, a las pocas horas de haberse publicado la versión beta para desarrolladores de iOS 7, consiguió saltarse la pantalla de bloqueo y acceder a las fotos almacenadas, pudiendo también borrarlas, enviarlas por email o twittearlas, todo ello sin conocer la contraseña del dispositivo.

Como vemos en el vídeo anterior, acceder a nuestra galería de fotografías es realmente sencillo y se reduce a ejecutar la aplicación de la calculadora desde el nuevo Control Center y, a continuación, ejecutar la aplicación de la cámara. Con esos simples pasos, cualquiera podría tener acceso a nuestras imágenes privadas y, lo que es peor, borrarlas o difundirlas.

Somos conscientes de que este fallo se encuentra presente en una versión preliminar del nuevo sistema operativo iOS 7 y que, ahora que se ha hecho público, es más que probable que Apple lo solucione antes de su lanzamiento el próximo otoño. No obstante, esto no deja de ser una llamada de atención para que, además de presentar nuevas e interesantes características, Apple se centre también en mejorar la seguridad de sus dispositivos.

Josep Albors

Apple y Microsoft publican parches de seguridad para Mac OS X y Windows

Apple y Microsoft han publicado estos días varias actualizaciones de seguridad para las diversas versiones de sus sistemas operativos Windows y Mac OS. Microsoft sigue con su periodicidad de publicar estas actualizaciones cada segundo martes de cada mes y, en esta ocasión, son cinco los boletines de seguridad.

De estos cinco boletines, tan solo uno tiene consideración de crítico y afecta a versiones de Internet Explorer de la 6 a la 10, solucionando fallos que podrían permitir la ejecución remota de código. El resto de boletines son calificados como importantes y afectan, además de a Internet Explorer, a Microsoft Office y a diferentes versiones de Windows.

El parche de seguridad para Office soluciona un agujero de seguridad en esta aplicación que podría permitir a un atacante ejecutar código de forma remota en Office 2003 para Windows y Office 2011 para Mac.

Se desconoce si entre los parches que se han publicado para solucionar varias vulnerabilidades en diferentes versiones de Windows se encuentra el que soluciona la vulnerabilidad descubierta recientemente por el ingeniero de Google Tavis Ormandy.

Por su parte, Apple también ha publicado hace poco varios parches de seguridad para su sistema Mac OS X. Nada menos que 33 son las vulnerabilidades solucionadas por esta segunda actualización importante en lo que va de año, además de las 26 que soluciona el navegador Safari.

Estas actualizaciones van dirigidas a los sistemas Lion y Mountain Lion, solucionando tanto fallos de seguridad del sistema como de aplicaciones de terceros. Además, desde esta actualización se comprueba que las aplicaciones Java Web Start descargadas desde Internet se encuentran firmadas antes de ejecutarse en el sistema. En caso de no estarlo, Gatekeeper impedirá su ejecución.

Esta última medida es bastante significativa, y se agradece que se adopte tras comprobar que muchas de las amenazas que más se han propagado recientemente han utilizado agujeros de seguridad en Java para conseguir infectar a un elevado número de sistemas.

Como siempre que se publican este tipo de actualizaciones de seguridad, es importante que estas se apliquen en nuestros sistemas lo antes posible para evitar que las amenazas que se aprovechan de estas vulnerabilidades nos afecten.

Josep Albors

Descubierto nuevo malware para Mac que captura la pantalla de la víctima

El malware para Mac sigue aumentando y, cada cierto tiempo, se descubren nuevas amenazas para los ordenadores de Apple. Una de las amenazas detectadas recientemente fue descubierta durante la celebración del Oslo Freedom Forum, un evento organizado precisamente para ayudar a protegerse a los activistas de varias organizaciones de espionaje gubernamental.

Fue en ese foro donde el investigador Jacob Appelbaum detectó algo sospechoso en el ordenador Mac de uno de los activistas, y que resultó ser una nueva amenaza para este sistema. Este malware tiene funciones de puerta trasera y está diseñado para robar información del ordenador infectado. Se instala en el sistema como una aplicación de nombre “macs.app” que se ejecuta automáticamente después de que el usuario se haya registrado en el sistema.

Un dato importante es que este malware se encuentra firmado con un identificador de desarrollador de Apple, algo que permitiría a esta amenaza sobrepasar algunas medidas de protección de Mac como la prevención de ejecución de ficheros conocida como Gatekeeper.

Nuestros compañeros de F-Secure han estado echando un ojo a esta amenaza y han descubierto algunos datos curiosos, como que el malware realiza capturas de pantalla periódicamente y las guarda en una carpeta del sistema de nombre MacApp.

A pesar de que este malware no se encuentra, ni mucho menos, extendido y su eliminación es relativamente fácil, demuestra el interés creciente de algunos ciberdelincuentes (o incluso gobiernos) por infectar a usuarios de Mac. Es importante aplicar las medidas de seguridad básicas independientemente del sistema operativo que estemos usando, medidas que incluyen utilizar el sistema con privilegios limitados, actualizar periódicamente el sistema y las aplicaciones instaladas, no descargar aplicaciones de sitios que no inspiren confianza, contar con una solución antimalware con cortafuegos y, sobre todo, aplicar el sentido común.

Josep Albors

 

Falso códec de vídeo instala malware en Mac

De nuevo tenemos que hablar de una nueva amenaza adaptada a sistemas Mac OS/X que se está propagando durante estos días, y es que, a pesar de los esfuerzos realizados por Apple, el interés creciente de los ciberdelincuentes en los Mac ha hecho que ya no sea extraño ver cómo van apareciendo periódicamente nuevas amenazas para este sistema operativo.

En esta ocasión analizaremos el malware identificado por las soluciones de seguridad de ESET como OSX/Adware.Yontoo.A, una variante de un malware diseñado originalmente para sistemas Windows y que ha dado el salto a la plataforma de Apple. La técnica utilizada es bastante simple y consiste en engañar a los usuarios para que instalen un falso códec de vídeo cuando visitan una web infectada, como la que mostramos a continuación:

Tal y como se observa en la captura, el mensaje indica al usuario que es necesario descargar un códec de vídeo para poder visualizar el contenido de esa web. Se proporciona además un botón desde el cual el usuario podrá descargar el supuesto códec, acción que no debemos realizar si queremos mantener seguro nuestro sistema. Si caemos en la trampa y pulsamos sobre ese botón, esto es lo que veremos a continuación:

Si nos fijamos atentamente en la imagen anterior podremos observar cómo el supuesto instalador del códec dice estar preparado para sistemas Windows, algo que debería hacernos sospechar, ya que nosotros hemos solicitado instalarlo desde un Mac. Aparte de eso, esta web podría pasar por algo legítimo para un usuario desprevenido y al pulsar sobre el llamativo botón de color azul descargaríamos un complemento o extensión para el navegador conocido por Yontoo y que se agregaría a los navegadores más populares usados en Mac (Safari, Chrome y Firefox).

Si finalmente se nos instalase este complemento, empezaremos a sufrir el bombardeo constante de anuncios indeseados y redirecciones a sitios web con más publicidad que no hemos solicitado . También hemos comprobado que algunos usuarios terminan instalándose malware adicional al acceder a sitios web con falsos reproductores multimedia. En cualquier caso, el objetivo final de los ciberdelincuentes es conducir a los usuarios infectados a sitios web donde se paga por hacer clic en los anuncios y así conseguir importantes beneficios.

Protección y desinfección

Si disponemos de una solución de seguridad en nuestro Mac como ESET Cyber Security, esta amenaza será detectada y bloqueada antes de que pueda infectar nuestro sistema. Las variantes detectadas tanto en Mac OS como en Windows se denominan OSX/Adware.Yontoo y Win32/Adware.Yontoo, respectivamente.

Si recibimos publicidad constante mientras navegamos y creemos estar infectados, podemos revisar los complementos instalados en nuestro navegador, tal y como vemos a continuación:

Firefox

Safari

Chrome

Tal y como apunta nuestro compañero Stephen Cobb, autor del post original en el blog de ESET, se puede usar el buscador de ficheros incorporado en Finder para buscar este complemento malicioso y eliminarlo de todos los buscadores en los que se haya instalado. Para ello solo debemos acceder a la carpeta Librería > Internet Plug-Ins, localizada en nuestro disco duro y eliminar el complemento Yontoo. Los archivos que se han de eliminar son: Yontoo.safariextz, YontooFFClient.xpi y YontooLayers.crx.

Como vemos, la portabilidad de malware diseñado originalmente para Windows a sistemas Mac OS es algo más frecuente de lo que mucha gente piensa. Además, viendo la facilidad con la que se traslada este tipo de malware a diversas plataformas y los beneficios que reporta a los ciberdelincuentes, no nos extrañaría ver aparecer más casos de este estilo en las próximas semanas.

 Josep Albors

Más vale tarde: Apple empieza a utilizar HTTPS en su App Store

El cifrado de las comunicaciones es algo básico cuando hablamos de transacciones en servicios tan usados hoy en día como puedan ser las tiendas online. Entre estas tiendas online, destacamos las de aplicaciones que utilizan la mayoría de dispositivos móviles actuales. Es precisamente por la utilización de forma masiva de este tipo de tiendas de aplicaciones que no entendemos cómo la App Store de Apple ha estado tanto tiempo sin cifrar las comunicaciones de sus usuarios.

Fue curiosamente un investigador de Google, Elie Bursztein, el que avisó en julio de 2012 a Apple de este fallo de implementación al usar HTTP mientras los usuarios utilizan la App Store para realizar sus compras. Esto significaría que cualquiera que estuviese conectado a la misma red que el usuario podría ver los datos enviados a la tienda de Apple, ya que estos se transmitían en texto plano.

Obviamente, esto suponía un peligro, ya que los datos de la cuenta de iTunes (usuario y contraseña) estaban al alcance de cualquiera que se pusiera a espiar las comunicaciones en una Wi-Fi pública, por ejemplo. Además de este riesgo, existen otros quizás no tan conocidos pero que desde Hispasec se encargan de recordarnos.

Entre estos ataques se encuentra la posibilidad de cambiar la aplicación seleccionada del usuario por otra a la elección del atacante o generar una actualización falsa. Estos ataques tendrían como finalidad instalar una aplicación maliciosa que permitiría, entre otras cosas, que un atacante instalase una puerta trasera en nuestro dispositivo para acceder a él cuando lo desease.

Además, también se podría evitar que se instalase una aplicación sustituyendo su identificador por el de una aplicación ya instalada o mostrar las aplicaciones que se encuentran instaladas en el dispositivo para buscar agujeros de seguridad que aprovechar en ellas.

Por todo eso, Apple ha terminado por empezar a usar HTTPS, una medida que soluciona todos los problemas que hemos comentado anteriormente. Esta es una buena noticia para los millones de usuarios que compran aplicaciones en la App Store, entre otras cosas porque ellos no tendrán que cambiar nada en sus  dispositivos, pero sin olvidar que elegir una contraseña segura que solo utilicemos en ese servicio es también una medida importante de seguridad.

Josep Albors

Empleados de Apple, nuevas víctimas de ataques dirigidos usando Java

Tras los ataques sufridos durante las últimas semanas por varios periódicos estadounidenses de renombre, Twitter y Facebook, ahora es Apple la que reconoce que algunos ordenadores  de sus empleados fueron infectados por atacantes que responden a un patrón muy similar a los que realizaron los ataques anteriores.

De la misma forma que en el caso de Facebook, los empleados de Apple fueron infectados al visitar una web legítima dirigida a desarrolladores de iPhone. Como es de esperar, en este caso y al tratarse de empleados de Apple, el malware estaba pensado para infectar ordenadores Mac, aprovechando de nuevo una vulnerabilidad en Java como vector de ataque.

Junto con los casos anteriores podemos decir que estamos ante una nueva campaña de ataques a objetivos importantes que incluyen, además de los ya mencionados, a otras empresas entre las que se encuentran contratistas de defensa. No obstante, aún es difícil decir cuándo empezaron los ataques, qué porcentaje de éxito han tenido los ataques, si estos aún siguen activos o si se han identificado todas las máquinas infectadas.

Como medida de prevención para evitar que se repitan este tipo de ataques, tanto Oracle como Apple han lanzado actualizaciones de Java para solucionar el agujero de seguridad que se ha aprovechado para infectar un indeterminado número de máquinas. Independientemente del sistema operativo que utilicemos, si tenemos Java instalado y su uso es necesario, es de vital importancia que actualicemos lo antes posible.

Según Charlie Miller, un reputado investigador especializado en la seguridad de productos Apple, este tipo de incidentes demuestran que los ciberdelincuentes están destinando cada vez más recursos en atacar el sistema Mac OS/X y así conseguir más víctimas entre los usuarios de Apple.

“El único motivo por el cual los Mac eran seguros anteriormente era que nadie se preocupaba por atacarlos. Esta seguridad termina cuando alguien se fija en esta plataforma y decide que son un objetivo interesante”, declaró Miller.

A pesar de estos ejemplos de infecciones y que las vulnerabilidades en software multiplataforma siguen siendo un importante vector de ataque, aún hay muchos usuarios que confían en su seguridad solamente por usar un sistema operativo determinado. Casos como el que acabamos de comentar deberían servir para cambiar esta mentalidad y empezar a aplicar medidas de seguridad adaptadas a las amenazas actuales.

Josep Albors

OSX/Pintsized.A: nueva amenaza para Mac

Nos enteramos gracias a nuestros compañeros de Seguridad Apple de la existencia de una nueva amenaza para los sistemas OS/X de Apple. OSX/Pintsized.A, que así es como se llama este nuevo malware, tiene funciones de puerta trasera (backdoor en inglés) pero aún no se ha proporcionado demasiada información sobre él, por lo que podría tener funciones ocultas que aún desconocemos.

Al parecer, se distribuye como una modificación de OpenSSH 6.0p1 y ocupa muy poco espacio, por lo que no son pocos los que creen que se trata  de un componente de un ataque dirigido más complejo. En caso de confirmarse esta teoría, esta amenaza pasaría a engrosar la lista de malware diseñado para Mac y que se utiliza para atacar objetivos concretos, como los que analizamos hace un par de meses y tenían como objetivo al Dalai Lama y organizaciones pro-Tíbet.

Una de las características de este malware es el cifrado del tráfico que realiza usando una clave RSA para conectarse con su panel de control. En el momento de escribir este artículo, dicho panel se encuentra bloqueado, lo que impide a los sistemas infectados por este malware recibir órdenes.

Tal y como apuntan desde Seguridad Apple, entre los dominios a los que se intenta conectar este backdoor encontramos corp-appl.com, dominio que no pertenece a Apple pero que se utiliza para denotar acciones de esta empresa en bolsa. Es muy probable que la elección de este dominio se haya realizado para pasar desapercibidos el máximo tiempo posible sin que nadie sospeche de su verdadera finalidad.

En cuanto a los ficheros que se han usado para propagar esta amenaza, encontramos varios de ellos con distintos nombres:

com.apple.cocoa.plist
cupsd (Mach-O binary)
com.apple.cupsd.plist
com.apple.cups.plist
com.apple.env.plist

Como ya hemos dicho, la información sobre esta nueva amenaza para Mac aún es escasa, por lo que aconsejamos contar con una solución de seguridad que la detecte y elimine. Al no tener aún detalles sobre su método de propagación también es recomendable desconfiar de enlaces sospechosos que podrían llevarnos a descargar este malware.

Josep Albors

ESET NOD32 presenta sus nuevas soluciones de seguridad para Mac

Tal y como venimos comentando durante los últimos meses, las amenazas informáticas para Mac están experimentando un crecimiento preocupante. Casos como el de Flashback han activado todas las alarmas e incluso Apple ha tenido que cambiar su discurso con respecto a la seguridad de sus sistemas operativos.

El malware para sistemas Mac OS ha existido casi desde el principio de este sistema operativo, encontrándose los primeros ejemplares incluso antes de que naciera el PC en el Apple II. No obstante, el número de estas amenazas era prácticamente despreciable si lo comparamos con las que están orientadas a Windows. Incluso con el incremento de amenazas para Mac, este número sigue siendo mucho menor en la actualidad.

A pesar de que este porcentaje es mucho menor, el uso de aplicaciones multiplataforma como Java en sistemas Windows, Mac y Linux hace que las vulnerabilidades para estas aplicaciones puedan ser aprovechadas en sistemas que hasta ahora se consideraban relativamente seguros.

Apple ha tomado recientemente importantes medidas para minimizar los riesgos en su sistema Mac OS/X, lo que ayuda a proteger sus sistema de forma notable. Como complemento a las capas de seguridad que ya incorpora Mac OS X, ESET NOD32 acaba de lanzar la nueva versión de su solución de seguridad ESET NOD32 Cyber Security y ha añadido a su catálogo ESET NOD32 Cyber Security Pro, una versión ampliada de la anterior con nuevos módulos.

Con estas soluciones de seguridad añadiremos una protección antivirus a nuestro sistema Mac OS, lo que ayudará a frenar no solo aquellas amenazas diseñadas para nuestro sistema operativo, sino que también permite bloquear las que estén preparadas para Windows y Linux, evitando así que nuestro Mac sea utilizado para propagar amenazas a otros sistemas.

Además de la protección antivirus, la nueva solución de seguridad ESET NOD32 Cyber Security Pro incorpora un cortafuegos personal y un módulo de control parental. Con el cortafuegos evitaremos que se realicen conexiones no autorizadas desde y hacia nuestro Mac, evitando así la ejecución remota de procesos no autorizados o el robo de información confidencial desde nuestro sistema.

Por su parte, el control parental está pensado para aquellas familias con niños menores de edad para permitirles controlar el contenido que sus hijos pueden ver en Internet. Cuenta con un listado de 27 categorías que permitirá filtrar contenido inapropiado para el perfil de usuario que se defina, permitiendo también el filtrado de sitios webs concretos.

Si hay algo de lo que estamos especialmente orgullosos en esta nueva versión, es de la integración completa que se ha conseguido de la interfaz del producto con el entorno Mac, siendo esta una aplicación que se adapta perfectamente al ecosistema Mac. Importante también destacar el bajo consumo de recursos para que disfrutemos de nuestro Mac sin ninguna interrupción.

No obstante, no debemos olvidar que, por mucho que contemos con un sistema operativo muy seguro y una eficaz solución de seguridad que nos proteja, el eslabón más débil sigue siendo aquel que se encuentra entre la pantalla y la silla. Es decir, los usuarios. Por eso es importante que no nos confiemos por muy protegidos que nos creamos y recordemos que mantener nuestro sistema y aplicaciones actualizados, evitar ejecutar archivos sospechosos sin revisarlos previamente o pulsar sobre enlaces peligrosos puede traernos más de un disgusto independientemente del sistema operativo que usemos.

Josep Albors

Nuevo malware para Mac se propaga desde una web asociada al Dalai Lama

Dockster, ese es el nombre de la nueva amenaza para sistemas Mac OS X que está siendo propagada actualmente. Al parecer, uno de sus objetivos es conseguir infectar a usuarios de Mac que simpaticen con el Dalai Lama, ya que una de las primeras muestras de este malware ha sido encontrada en una web relacionada con esta personalidad religiosa.

Al analizar el código fuente de esta web vemos cómo se incluye una línea de código puesta allí por los atacantes y que hace que los visitantes de esta web se descarguen un applet de java. Este applet intenta aprovecharse de la misma vulnerabilidad que usó el troyano Flashback durante la pasada primavera y que consiguió afectar a más de 600.000 equipos con Mac OS en todo el mundo.

El que se haya decidido usar la misma vulnerabilidad resulta curioso cuando hace meses que se lanzó su correspondiente parche. Tal vez los que hayan diseñado este malware piensan que aún quedan muchos sistemas Mac sin actualizar y han decidido probar suerte.

Con respecto al malware en sí se trata de un spyware que también incluye funcionalidades de puerta trasera, lo que permite que el atacante acceda de forma remota y descargue archivos o active las funciones keylogger de registro de pulsaciones del teclado, tal y como analizaban nuestros compañeros de Seguridad Apple ayer a primera hora, cuando aún se pensaba que era una prueba de concepto o un spyware en pruebas.

A pesar de que, tras ejecutarse, el malware no puede ser detectado por el usuario usando el explorador de ficheros Finder, sí que puede observarse el proceso gracias al Monitor de Actividad.

Resulta curioso que algunos casos de malware para Mac estén tan ligados al entorno del Dalai Lama y las organizaciones pro-Tíbet. Es sabido que el Dalai Lama es un usuario de Mac y por eso podríamos estar ante un nuevo caso de spyware realizado por gobiernos a los que no les cae especialmente bien esta personalidad.

Los usuarios de las soluciones de seguridad de ESET pueden estar tranquilos, puesto que estas bloquean tanto el acceso a la web desde donde se está distribuyendo como el troyano Java/Exploit.CVE-2012-0507.DX en sí, pero no hay que confiarse y nunca está de más instalar un antivirus en nuestro Mac que proteja de las, cada vez más crecientes, amenazas para este sistema operativo.

Josep Albors

Apple elimina el plugin de Java en la última actualización de Mac OS X

Parece que las continuas vulnerabilidades descubiertas en Java y el uso de estas como vector de ataque, tanto para sistemas Windows como Mac OS X, han terminado con la paciencia de Apple, quien ha decidido, en la última actualización de su sistema operativo para ordenadores, eliminar cualquier rastro del plugin de Java en los sistemas operativos Mac OS X 10.7 o superior.

Esto deja a los millones de usuarios de Mac OS X sin posibilidad de ver contenido que requiera de este plugin en los navegadores (aunque siempre cabe la posibilidad de volver a descargarlo). En la siguiente captura se puede observar cómo se informa a los usuarios sobre qué consiste esta actualización:

No obstante, si alguien necesitase usar este complemento de Java en su sistema operativo Mac OS X, Oracle ha puesto a disposición de los usuarios unas instrucciones para volver a instalar Java.

Como muy bien recuerdan nuestros compañeros de ESET Latinoamérica, Java se usa de forma muy extendida en los navegadores para poder ejecutar applets. Estos componentes se usan dentro de otra aplicación como los propios navegadores y proveen a estos de diversas funcionalidades como información gráfica y dinámica, así como también la posibilidad de interactuar directamente con el usuario.Estas funcionalidades de los applets empezaron a ser aprovechadas por los ciberdelincuentes hace tiempo para poder propagar malware, aprovechándose además de la característica multiplataforma de Java para afectar a sistemas Windows, Mac OS X y Linux.

De esta forma, durante los últimos meses hemos visto múltiples casos de ataques aprovechando vulnerabilidades de Java, siendo una de las mas recientes la que afectaba a JRE 1.7 update 6. Otra vulnerabilidad en Java fue la responsable de la mayor propagación de malware vivida en sistemas Apple. El troyano Flashback infectó a más de 600.000 sistemas Mac OS X y seguro que esta infección ha tenido mucho peso en la decisión de Apple de eliminar cualquier rastro de Java de su sistema.

A pesar de ser una medida drástica que no gustará nada a Oracle (propietaria de Java), la eliminación de este software de los sistemas Mac OS X cierra una de las principales puertas de entrada de malware en esta plataforma. En nuestro laboratorio hace tiempo que realizamos esa acción y no hemos notado un empeoramiento en nuestra experiencia de navegación web, así que, a pesar de ser una medida drástica, creemos que Apple ha realizado un buen movimiento para proteger la seguridad de sus usuarios.

Josep Albors

Artículos Anteriores »