• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (69)
  • adware (5)
  • Android (20)
  • Anuncios (42)
  • Apple (32)
  • backdoor (7)
  • BlackHat SEO (5)
  • Botnets (59)
  • Cálico Electrónico (48)
  • certificados (4)
  • Cibercrimen (3)
  • Clickjacking (9)
  • Curiosidades (54)
  • Cyberwar (22)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (116)
  • email (11)
  • entrevista (7)
  • Espionaje (45)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (101)
  • Facebook (57)
  • Filtraciones (74)
  • General (152)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (30)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (19)
  • Linux (1)
  • Mac (24)
  • Malware (290)
  • Mensajería (1)
  • PDF (2)
  • Phishing (73)
  • Piratería (8)
  • Privacidad (77)
  • Productos (42)
  • ransomware (11)
  • redes sociales (109)
  • rogue (26)
  • rootkit (2)
  • Scada (8)
  • Scam (26)
  • scareware (3)
  • seguridad (126)
  • sorteos (4)
  • Spam (147)
  • spyware (6)
  • telefonía (57)
  • timos (10)
  • Troyanos (37)
  • Tutoriales (23)
  • Twitter (10)
  • Unix (5)
  • Vulnerabilidades (288)

• Archivos

  • junio 2013 (16)
  • mayo 2013 (23)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Apple y Microsoft publican parches de seguridad para Mac OS X y Windows

Apple y Microsoft han publicado estos días varias actualizaciones de seguridad para las diversas versiones de sus sistemas operativos Windows y Mac OS. Microsoft sigue con su periodicidad de publicar estas actualizaciones cada segundo martes de cada mes y, en esta ocasión, son cinco los boletines de seguridad.

De estos cinco boletines, tan solo uno tiene consideración de crítico y afecta a versiones de Internet Explorer de la 6 a la 10, solucionando fallos que podrían permitir la ejecución remota de código. El resto de boletines son calificados como importantes y afectan, además de a Internet Explorer, a Microsoft Office y a diferentes versiones de Windows.

El parche de seguridad para Office soluciona un agujero de seguridad en esta aplicación que podría permitir a un atacante ejecutar código de forma remota en Office 2003 para Windows y Office 2011 para Mac.

Se desconoce si entre los parches que se han publicado para solucionar varias vulnerabilidades en diferentes versiones de Windows se encuentra el que soluciona la vulnerabilidad descubierta recientemente por el ingeniero de Google Tavis Ormandy.

Por su parte, Apple también ha publicado hace poco varios parches de seguridad para su sistema Mac OS X. Nada menos que 33 son las vulnerabilidades solucionadas por esta segunda actualización importante en lo que va de año, además de las 26 que soluciona el navegador Safari.

Estas actualizaciones van dirigidas a los sistemas Lion y Mountain Lion, solucionando tanto fallos de seguridad del sistema como de aplicaciones de terceros. Además, desde esta actualización se comprueba que las aplicaciones Java Web Start descargadas desde Internet se encuentran firmadas antes de ejecutarse en el sistema. En caso de no estarlo, Gatekeeper impedirá su ejecución.

Esta última medida es bastante significativa, y se agradece que se adopte tras comprobar que muchas de las amenazas que más se han propagado recientemente han utilizado agujeros de seguridad en Java para conseguir infectar a un elevado número de sistemas.

Como siempre que se publican este tipo de actualizaciones de seguridad, es importante que estas se apliquen en nuestros sistemas lo antes posible para evitar que las amenazas que se aprovechan de estas vulnerabilidades nos afecten.

Josep Albors

Descubierto nuevo malware para Mac que captura la pantalla de la víctima

El malware para Mac sigue aumentando y, cada cierto tiempo, se descubren nuevas amenazas para los ordenadores de Apple. Una de las amenazas detectadas recientemente fue descubierta durante la celebración del Oslo Freedom Forum, un evento organizado precisamente para ayudar a protegerse a los activistas de varias organizaciones de espionaje gubernamental.

Fue en ese foro donde el investigador Jacob Appelbaum detectó algo sospechoso en el ordenador Mac de uno de los activistas, y que resultó ser una nueva amenaza para este sistema. Este malware tiene funciones de puerta trasera y está diseñado para robar información del ordenador infectado. Se instala en el sistema como una aplicación de nombre “macs.app” que se ejecuta automáticamente después de que el usuario se haya registrado en el sistema.

Un dato importante es que este malware se encuentra firmado con un identificador de desarrollador de Apple, algo que permitiría a esta amenaza sobrepasar algunas medidas de protección de Mac como la prevención de ejecución de ficheros conocida como Gatekeeper.

Nuestros compañeros de F-Secure han estado echando un ojo a esta amenaza y han descubierto algunos datos curiosos, como que el malware realiza capturas de pantalla periódicamente y las guarda en una carpeta del sistema de nombre MacApp.

A pesar de que este malware no se encuentra, ni mucho menos, extendido y su eliminación es relativamente fácil, demuestra el interés creciente de algunos ciberdelincuentes (o incluso gobiernos) por infectar a usuarios de Mac. Es importante aplicar las medidas de seguridad básicas independientemente del sistema operativo que estemos usando, medidas que incluyen utilizar el sistema con privilegios limitados, actualizar periódicamente el sistema y las aplicaciones instaladas, no descargar aplicaciones de sitios que no inspiren confianza, contar con una solución antimalware con cortafuegos y, sobre todo, aplicar el sentido común.

Josep Albors

 

Falso códec de vídeo instala malware en Mac

De nuevo tenemos que hablar de una nueva amenaza adaptada a sistemas Mac OS/X que se está propagando durante estos días, y es que, a pesar de los esfuerzos realizados por Apple, el interés creciente de los ciberdelincuentes en los Mac ha hecho que ya no sea extraño ver cómo van apareciendo periódicamente nuevas amenazas para este sistema operativo.

En esta ocasión analizaremos el malware identificado por las soluciones de seguridad de ESET como OSX/Adware.Yontoo.A, una variante de un malware diseñado originalmente para sistemas Windows y que ha dado el salto a la plataforma de Apple. La técnica utilizada es bastante simple y consiste en engañar a los usuarios para que instalen un falso códec de vídeo cuando visitan una web infectada, como la que mostramos a continuación:

Tal y como se observa en la captura, el mensaje indica al usuario que es necesario descargar un códec de vídeo para poder visualizar el contenido de esa web. Se proporciona además un botón desde el cual el usuario podrá descargar el supuesto códec, acción que no debemos realizar si queremos mantener seguro nuestro sistema. Si caemos en la trampa y pulsamos sobre ese botón, esto es lo que veremos a continuación:

Si nos fijamos atentamente en la imagen anterior podremos observar cómo el supuesto instalador del códec dice estar preparado para sistemas Windows, algo que debería hacernos sospechar, ya que nosotros hemos solicitado instalarlo desde un Mac. Aparte de eso, esta web podría pasar por algo legítimo para un usuario desprevenido y al pulsar sobre el llamativo botón de color azul descargaríamos un complemento o extensión para el navegador conocido por Yontoo y que se agregaría a los navegadores más populares usados en Mac (Safari, Chrome y Firefox).

Si finalmente se nos instalase este complemento, empezaremos a sufrir el bombardeo constante de anuncios indeseados y redirecciones a sitios web con más publicidad que no hemos solicitado . También hemos comprobado que algunos usuarios terminan instalándose malware adicional al acceder a sitios web con falsos reproductores multimedia. En cualquier caso, el objetivo final de los ciberdelincuentes es conducir a los usuarios infectados a sitios web donde se paga por hacer clic en los anuncios y así conseguir importantes beneficios.

Protección y desinfección

Si disponemos de una solución de seguridad en nuestro Mac como ESET Cyber Security, esta amenaza será detectada y bloqueada antes de que pueda infectar nuestro sistema. Las variantes detectadas tanto en Mac OS como en Windows se denominan OSX/Adware.Yontoo y Win32/Adware.Yontoo, respectivamente.

Si recibimos publicidad constante mientras navegamos y creemos estar infectados, podemos revisar los complementos instalados en nuestro navegador, tal y como vemos a continuación:

Firefox

Safari

Chrome

Tal y como apunta nuestro compañero Stephen Cobb, autor del post original en el blog de ESET, se puede usar el buscador de ficheros incorporado en Finder para buscar este complemento malicioso y eliminarlo de todos los buscadores en los que se haya instalado. Para ello solo debemos acceder a la carpeta Librería > Internet Plug-Ins, localizada en nuestro disco duro y eliminar el complemento Yontoo. Los archivos que se han de eliminar son: Yontoo.safariextz, YontooFFClient.xpi y YontooLayers.crx.

Como vemos, la portabilidad de malware diseñado originalmente para Windows a sistemas Mac OS es algo más frecuente de lo que mucha gente piensa. Además, viendo la facilidad con la que se traslada este tipo de malware a diversas plataformas y los beneficios que reporta a los ciberdelincuentes, no nos extrañaría ver aparecer más casos de este estilo en las próximas semanas.

 Josep Albors

Empleados de Apple, nuevas víctimas de ataques dirigidos usando Java

Tras los ataques sufridos durante las últimas semanas por varios periódicos estadounidenses de renombre, Twitter y Facebook, ahora es Apple la que reconoce que algunos ordenadores  de sus empleados fueron infectados por atacantes que responden a un patrón muy similar a los que realizaron los ataques anteriores.

De la misma forma que en el caso de Facebook, los empleados de Apple fueron infectados al visitar una web legítima dirigida a desarrolladores de iPhone. Como es de esperar, en este caso y al tratarse de empleados de Apple, el malware estaba pensado para infectar ordenadores Mac, aprovechando de nuevo una vulnerabilidad en Java como vector de ataque.

Junto con los casos anteriores podemos decir que estamos ante una nueva campaña de ataques a objetivos importantes que incluyen, además de los ya mencionados, a otras empresas entre las que se encuentran contratistas de defensa. No obstante, aún es difícil decir cuándo empezaron los ataques, qué porcentaje de éxito han tenido los ataques, si estos aún siguen activos o si se han identificado todas las máquinas infectadas.

Como medida de prevención para evitar que se repitan este tipo de ataques, tanto Oracle como Apple han lanzado actualizaciones de Java para solucionar el agujero de seguridad que se ha aprovechado para infectar un indeterminado número de máquinas. Independientemente del sistema operativo que utilicemos, si tenemos Java instalado y su uso es necesario, es de vital importancia que actualicemos lo antes posible.

Según Charlie Miller, un reputado investigador especializado en la seguridad de productos Apple, este tipo de incidentes demuestran que los ciberdelincuentes están destinando cada vez más recursos en atacar el sistema Mac OS/X y así conseguir más víctimas entre los usuarios de Apple.

“El único motivo por el cual los Mac eran seguros anteriormente era que nadie se preocupaba por atacarlos. Esta seguridad termina cuando alguien se fija en esta plataforma y decide que son un objetivo interesante”, declaró Miller.

A pesar de estos ejemplos de infecciones y que las vulnerabilidades en software multiplataforma siguen siendo un importante vector de ataque, aún hay muchos usuarios que confían en su seguridad solamente por usar un sistema operativo determinado. Casos como el que acabamos de comentar deberían servir para cambiar esta mentalidad y empezar a aplicar medidas de seguridad adaptadas a las amenazas actuales.

Josep Albors

OSX/Pintsized.A: nueva amenaza para Mac

Nos enteramos gracias a nuestros compañeros de Seguridad Apple de la existencia de una nueva amenaza para los sistemas OS/X de Apple. OSX/Pintsized.A, que así es como se llama este nuevo malware, tiene funciones de puerta trasera (backdoor en inglés) pero aún no se ha proporcionado demasiada información sobre él, por lo que podría tener funciones ocultas que aún desconocemos.

Al parecer, se distribuye como una modificación de OpenSSH 6.0p1 y ocupa muy poco espacio, por lo que no son pocos los que creen que se trata  de un componente de un ataque dirigido más complejo. En caso de confirmarse esta teoría, esta amenaza pasaría a engrosar la lista de malware diseñado para Mac y que se utiliza para atacar objetivos concretos, como los que analizamos hace un par de meses y tenían como objetivo al Dalai Lama y organizaciones pro-Tíbet.

Una de las características de este malware es el cifrado del tráfico que realiza usando una clave RSA para conectarse con su panel de control. En el momento de escribir este artículo, dicho panel se encuentra bloqueado, lo que impide a los sistemas infectados por este malware recibir órdenes.

Tal y como apuntan desde Seguridad Apple, entre los dominios a los que se intenta conectar este backdoor encontramos corp-appl.com, dominio que no pertenece a Apple pero que se utiliza para denotar acciones de esta empresa en bolsa. Es muy probable que la elección de este dominio se haya realizado para pasar desapercibidos el máximo tiempo posible sin que nadie sospeche de su verdadera finalidad.

En cuanto a los ficheros que se han usado para propagar esta amenaza, encontramos varios de ellos con distintos nombres:

com.apple.cocoa.plist
cupsd (Mach-O binary)
com.apple.cupsd.plist
com.apple.cups.plist
com.apple.env.plist

Como ya hemos dicho, la información sobre esta nueva amenaza para Mac aún es escasa, por lo que aconsejamos contar con una solución de seguridad que la detecte y elimine. Al no tener aún detalles sobre su método de propagación también es recomendable desconfiar de enlaces sospechosos que podrían llevarnos a descargar este malware.

Josep Albors

Adobe publica un parche que soluciona dos vulnerabilidades en Flash Player

Ayer por la tarde recibíamos la noticia de una actualización de emergencia para Flash Player por parte de Adobe que solucionaba dos vulnerabilidades 0-day (que ya estaban siendo aprovechadas por atacantes). Según la información proporcionada por la propia Adobe, al menos una de estas vulnerabilidades estaba siendo utilizada para descargar malware en sistemas Windows y Mac.

Estamos de nuevo en una situación similar a ocasiones anteriores, en las que un agujero de seguridad se está usando de forma activa por atacantes para descargar malware en los ordenadores de los usuarios mediante un contenido malicioso de Flash. Este contenido malicioso suele alojarse en sitios webs (legítimos o no), o convenciendo al usuario para que abra un documento de Word que se incluye como adjunto de un email.

Debido a que este fallo de seguridad está siendo aprovechado activamente, se recomienda la actualización de Flash Player a todos los usuarios que lo tengan instalado. Estas actualizaciones están disponibles para Windows, Linux, Mac y Android.

Tanto Adobe como Oracle han lanzado actualizaciones críticas para sus productos esta semana, lo que demuestra que siguen siendo una de las principales puertas de entrada del malware a nuestros sistemas. La funcionalidad multiplataforma de este software las hace idóneas también para propagar amenazas a diferentes sistemas operativos sin realizar un excesivo esfuerzo adicional por parte de los ciberdelincuentes.

Tal y como se ha recomendado en muchas ocasiones anteriores, la actualización de Flash Player es altamente recomendable, puesto que, de no hacerlo, estaremos dejando una puerta abierta a peligrosas amenazas.

Josep Albors

ESET NOD32 presenta sus nuevas soluciones de seguridad para Mac

Tal y como venimos comentando durante los últimos meses, las amenazas informáticas para Mac están experimentando un crecimiento preocupante. Casos como el de Flashback han activado todas las alarmas e incluso Apple ha tenido que cambiar su discurso con respecto a la seguridad de sus sistemas operativos.

El malware para sistemas Mac OS ha existido casi desde el principio de este sistema operativo, encontrándose los primeros ejemplares incluso antes de que naciera el PC en el Apple II. No obstante, el número de estas amenazas era prácticamente despreciable si lo comparamos con las que están orientadas a Windows. Incluso con el incremento de amenazas para Mac, este número sigue siendo mucho menor en la actualidad.

A pesar de que este porcentaje es mucho menor, el uso de aplicaciones multiplataforma como Java en sistemas Windows, Mac y Linux hace que las vulnerabilidades para estas aplicaciones puedan ser aprovechadas en sistemas que hasta ahora se consideraban relativamente seguros.

Apple ha tomado recientemente importantes medidas para minimizar los riesgos en su sistema Mac OS/X, lo que ayuda a proteger sus sistema de forma notable. Como complemento a las capas de seguridad que ya incorpora Mac OS X, ESET NOD32 acaba de lanzar la nueva versión de su solución de seguridad ESET NOD32 Cyber Security y ha añadido a su catálogo ESET NOD32 Cyber Security Pro, una versión ampliada de la anterior con nuevos módulos.

Con estas soluciones de seguridad añadiremos una protección antivirus a nuestro sistema Mac OS, lo que ayudará a frenar no solo aquellas amenazas diseñadas para nuestro sistema operativo, sino que también permite bloquear las que estén preparadas para Windows y Linux, evitando así que nuestro Mac sea utilizado para propagar amenazas a otros sistemas.

Además de la protección antivirus, la nueva solución de seguridad ESET NOD32 Cyber Security Pro incorpora un cortafuegos personal y un módulo de control parental. Con el cortafuegos evitaremos que se realicen conexiones no autorizadas desde y hacia nuestro Mac, evitando así la ejecución remota de procesos no autorizados o el robo de información confidencial desde nuestro sistema.

Por su parte, el control parental está pensado para aquellas familias con niños menores de edad para permitirles controlar el contenido que sus hijos pueden ver en Internet. Cuenta con un listado de 27 categorías que permitirá filtrar contenido inapropiado para el perfil de usuario que se defina, permitiendo también el filtrado de sitios webs concretos.

Si hay algo de lo que estamos especialmente orgullosos en esta nueva versión, es de la integración completa que se ha conseguido de la interfaz del producto con el entorno Mac, siendo esta una aplicación que se adapta perfectamente al ecosistema Mac. Importante también destacar el bajo consumo de recursos para que disfrutemos de nuestro Mac sin ninguna interrupción.

No obstante, no debemos olvidar que, por mucho que contemos con un sistema operativo muy seguro y una eficaz solución de seguridad que nos proteja, el eslabón más débil sigue siendo aquel que se encuentra entre la pantalla y la silla. Es decir, los usuarios. Por eso es importante que no nos confiemos por muy protegidos que nos creamos y recordemos que mantener nuestro sistema y aplicaciones actualizados, evitar ejecutar archivos sospechosos sin revisarlos previamente o pulsar sobre enlaces peligrosos puede traernos más de un disgusto independientemente del sistema operativo que usemos.

Josep Albors

Resumen anual de seguridad informática: Facebook y Twitter protagonizaron incidentes de seguridad durante todos los meses de 2012

¡Madre mía qué mal lo hemos pasado este año haciendo el resumen! Hay que reconocer que la práctica ayuda, pero cuando tienes que seleccionar entre los 350 artículos que hemos publicado este año, todos ellos referentes a temas de seguridad y/o privacidad, el ejercicio es arduo. Siempre se queda algo fuera, y seguro que importante, pero al menos está todo lo que es más relevante a nivel internacional.

El pasado año ha seguido la estela de actividad en cuanto a seguridad informática se refiere, ya que todos los meses han sucedido hechos internacionales que han tenido sus efectos y una gran repercusión mediática. Si echamos un vistazo al Resumen Anual de Seguridad 2012 que nos hemos currado, veremos que hay nombres propios que se repiten a lo largo de cada uno de los meses y que protagonizan repetitivos incidentes de seguridad de forma reincidente.

En el capítulo de hacktivismo, Anonymous se ha mostrado especialmente activo este año operando en el frente tanto nacional como internacional. A nivel local, los miembros de este colectivo han publicado los datos privados de los responsables de la Ley Sinde a principios de año, han aprovechado los premios Goya para introducirse en los servidores de la Academia del Cine y obtener multitud de datos profesionales y personales, han protestado junto al colectivo sanitario por los recortes en Sanidad y han atacado, también en señal de queja por la situación económica, varias webs de partidos políticos.

Con respecto a actuaciones internacionales e intrusiones no autorizadas, numerosos organismos, instituciones y grandes empresas privadas han visto su seguridad e integridad vulneradas por una razón u otra. La realidad es que la NASA, varias universidades, entidades gubernamentales americanas, Sony, Amazon.com, T-Mobile, Nissan y VMWare, por solo citar unos ejemplos, se han convertido en blanco durante el pasado año de los cibercriminales.

Respecto a la aparición de nuevas amenazas informáticas, tanto la plataforma Mac como Android se han llevado la palma, sin desmerecer para nada a Windows, que sigue ostentando la gran cifra récord de 250.000 nuevos ejemplares mensuales. Otro dispositivo, como el eReader Kindle Touch, también ha tenido algún susto.

En cuanto a las técnicas de ingeniería social utilizadas para la distribución de spam o phishing, también hemos visto cómo se han seguido utilizando los hechos más internacionales y representativos, como los Juegos Olímpicos y la Supercopa, pero también han hecho mella otros ganchos como el de Michel Teló y su éxito del verano, servicios como SkyDrive de Microsoft o relacionados con juegos muy conocidos como League of Legends.

También 2012 ha sido el año en el que se han descubierto varias redes de botnets, algunas relacionadas con el espionaje internacional y con ataques dirigidos, como es el caso de Medre o de Flashback. A lo que se añaden las múltiples vulnerabilidades críticas en los programas habituales, como Adobe, Java y Windows.

Los problemas de privacidad derivados del uso de plataformas online especialmente diseñadas para enriquecerse a costa de los datos del usuario han dado mucho de qué hablar durante el pasado año, y hemos visto cómo prácticamente todos los grandes han tenido problemas en uno u otro sentido al enfrententarse a quejas y demandas justificadas que luchan por mantener la intimidad de la información personal de los usuarios compartida a través de este tipo de portales.

Pero ha habido más… Noviembre ha marcado un antes y un después en cuanto a actualidad mediática relacionada con la seguridad de la información, ya que el robo de la agenda de Pipi Estrada y su posterior publicación online puso a muchos famosos en jaque durante varios días. Igualmente, el supuesto bulo de las fotos eróticas de las chicas de Deusto puso en duda la integridad de la conocida universidad, aunque todo pareció más un invento que otra cosa.

Un año en el que hemos tenido prácticamente de todo y cuya información se encuentra resumida, mes a mes, en nuestro Informe Anual de Seguridad 2012.

¡Que la seguridad nos acompañe en 2013!

 

Yolanda Ruiz Hervás

 

Josep Albors

 

 

Nuevo malware para Mac se propaga desde una web asociada al Dalai Lama

Dockster, ese es el nombre de la nueva amenaza para sistemas Mac OS X que está siendo propagada actualmente. Al parecer, uno de sus objetivos es conseguir infectar a usuarios de Mac que simpaticen con el Dalai Lama, ya que una de las primeras muestras de este malware ha sido encontrada en una web relacionada con esta personalidad religiosa.

Al analizar el código fuente de esta web vemos cómo se incluye una línea de código puesta allí por los atacantes y que hace que los visitantes de esta web se descarguen un applet de java. Este applet intenta aprovecharse de la misma vulnerabilidad que usó el troyano Flashback durante la pasada primavera y que consiguió afectar a más de 600.000 equipos con Mac OS en todo el mundo.

El que se haya decidido usar la misma vulnerabilidad resulta curioso cuando hace meses que se lanzó su correspondiente parche. Tal vez los que hayan diseñado este malware piensan que aún quedan muchos sistemas Mac sin actualizar y han decidido probar suerte.

Con respecto al malware en sí se trata de un spyware que también incluye funcionalidades de puerta trasera, lo que permite que el atacante acceda de forma remota y descargue archivos o active las funciones keylogger de registro de pulsaciones del teclado, tal y como analizaban nuestros compañeros de Seguridad Apple ayer a primera hora, cuando aún se pensaba que era una prueba de concepto o un spyware en pruebas.

A pesar de que, tras ejecutarse, el malware no puede ser detectado por el usuario usando el explorador de ficheros Finder, sí que puede observarse el proceso gracias al Monitor de Actividad.

Resulta curioso que algunos casos de malware para Mac estén tan ligados al entorno del Dalai Lama y las organizaciones pro-Tíbet. Es sabido que el Dalai Lama es un usuario de Mac y por eso podríamos estar ante un nuevo caso de spyware realizado por gobiernos a los que no les cae especialmente bien esta personalidad.

Los usuarios de las soluciones de seguridad de ESET pueden estar tranquilos, puesto que estas bloquean tanto el acceso a la web desde donde se está distribuyendo como el troyano Java/Exploit.CVE-2012-0507.DX en sí, pero no hay que confiarse y nunca está de más instalar un antivirus en nuestro Mac que proteja de las, cada vez más crecientes, amenazas para este sistema operativo.

Josep Albors

Apple elimina el plugin de Java en la última actualización de Mac OS X

Parece que las continuas vulnerabilidades descubiertas en Java y el uso de estas como vector de ataque, tanto para sistemas Windows como Mac OS X, han terminado con la paciencia de Apple, quien ha decidido, en la última actualización de su sistema operativo para ordenadores, eliminar cualquier rastro del plugin de Java en los sistemas operativos Mac OS X 10.7 o superior.

Esto deja a los millones de usuarios de Mac OS X sin posibilidad de ver contenido que requiera de este plugin en los navegadores (aunque siempre cabe la posibilidad de volver a descargarlo). En la siguiente captura se puede observar cómo se informa a los usuarios sobre qué consiste esta actualización:

No obstante, si alguien necesitase usar este complemento de Java en su sistema operativo Mac OS X, Oracle ha puesto a disposición de los usuarios unas instrucciones para volver a instalar Java.

Como muy bien recuerdan nuestros compañeros de ESET Latinoamérica, Java se usa de forma muy extendida en los navegadores para poder ejecutar applets. Estos componentes se usan dentro de otra aplicación como los propios navegadores y proveen a estos de diversas funcionalidades como información gráfica y dinámica, así como también la posibilidad de interactuar directamente con el usuario.Estas funcionalidades de los applets empezaron a ser aprovechadas por los ciberdelincuentes hace tiempo para poder propagar malware, aprovechándose además de la característica multiplataforma de Java para afectar a sistemas Windows, Mac OS X y Linux.

De esta forma, durante los últimos meses hemos visto múltiples casos de ataques aprovechando vulnerabilidades de Java, siendo una de las mas recientes la que afectaba a JRE 1.7 update 6. Otra vulnerabilidad en Java fue la responsable de la mayor propagación de malware vivida en sistemas Apple. El troyano Flashback infectó a más de 600.000 sistemas Mac OS X y seguro que esta infección ha tenido mucho peso en la decisión de Apple de eliminar cualquier rastro de Java de su sistema.

A pesar de ser una medida drástica que no gustará nada a Oracle (propietaria de Java), la eliminación de este software de los sistemas Mac OS X cierra una de las principales puertas de entrada de malware en esta plataforma. En nuestro laboratorio hace tiempo que realizamos esa acción y no hemos notado un empeoramiento en nuestra experiencia de navegación web, así que, a pesar de ser una medida drástica, creemos que Apple ha realizado un buen movimiento para proteger la seguridad de sus usuarios.

Josep Albors

Artículos Anteriores »