10 años de malware para Mac OS X

Categorias: Apple,Mac,Malware | | 1 Comentario » |

Adaptación del artículo publicado por Graham Cluley en el blog de ESET WeLive Security.

Antes de empezar vamos a dejar una cosa clara:

El problema del malware en Mac OS X no es ni de lejos tan grave como en Windows.

Se descubren alrededor de 200.00 nuevas variantes de malware para Windows cada día. La actividad de los códigos maliciosos en el mundo Mac es mucho menos frenética, pero el hecho es que existe malware que puede infectar nuestros iMacs o MacBooks.

Y si tu ordenador Apple es lo suficientemente desafortunado como para caer víctima de una de estas infecciones, no vas a sentirte mucho mejor que tus amigos usuarios de PC que intentan eliminar un troyano con acceso remoto o una molesta barra de herramientas en su sistema Windows.

apple-ii-170

Cabe recordar también que el malware para Mac no es para nada algo nuevo.

El malware para dispositivos Apple tiene como objetivos a los Macintosh “y al PC”. Tenemos ejemplos como el primer malware desarrollado para ordenadores Apple II en 1982 conocido como Elk Cloner y que fue programado por Rich Skrenta.

Pero las amenazas para Apple II y los ordenadores Apple que funcionaran con Mac OS 9 o versiones anteriores no son especialmente relevantes para nadie aparte de los historiadores.

Lo que realmente preocupa a los usuarios de Mac actuales es que amenazas existen para Mac OS X.

Además, resulta que en 2014 se cumple el décimo aniversario del malware para Mac OS X. Es por eso que hemos decidido recordar algunos de los ejemplos más destacables de gusanos y troyanos que hemos visto en esta plataforma en los últimos diez años.

Renepo (2004)

Tal y como se puede ver en nuestra web de información sobre las amenazas para Mac, el primer malware desarrollado para Mac OS X apareció en 2004.

Renepo (también conocido como “Opener”) fue un gusano de Shell script y contenía un arsenal de funcionalidades de spyware y puerta trasera que permitía a los atacantes robar información de los ordenadores infectados, desactivar las actualizaciones, desactivar el cortafuegos del ordenador y descifrar contraseñas.

renepo-1

Renepo nunca fue un problema serio para la gran mayoría de usuarios de Mac ya que no se propagó por Internet y requería que el atacante tuviera acceso físico a tu ordenador para instalarlo. Sin embargo, fue un primer indicador de que los Mac no estaban protegidos por arte de magia contra el código malicioso.

Leap (2006)

Leap supuso para mucha gente que monitorizaba la seguridad en los productos Apple, el primer gusano real para el sistema operativo Mac OS X.

Leap podía propagarse a otros ordenadores Mac mediante el envío de mensajes a través de iChat, haciéndolo comparable a un gusano de correo electrónico o de mensajería instantánea.

En aquellos días, algunos fanáticos del Mac salieron en defensa de Apple argumentando que Leap “no era realmente un virus”, sino que se trataba de un troyano. Pero, en nuestra opinion, se equivocaban.

Esta argumentación se basaba en que Leap necesitaba de la interacción del usuario para infectar el sistema (el usuario debía abrir el archivo malicioso que se enviaba a través de iChat), por lo que no podía ser considerado como un virus o un gusano.

Pero varios ejemplos de malware para Windows descubiertos en la misma época como MyDoom o Sobig también requerían de una intervención del usuario (pulsando sobre un archivo adjunto). Y aun así, muchos usuarios de Mac estuvieron más que dispuestos a llamar “virus” a esos tipos de malware para Windows cada vez que tenían la oportunidad.

En nuestra opinion, actualmente se podría considerar el termino “virus” como un contenedor de diferentes tipos de malware que incluye a los gusanos, virus parásitos de ficheros o virus del sector de arranque, entre otros. Los troyanos son un tipo completamente diferente de malware porque, a diferencia de los virus y los gusanos, no pueden replicarse a si mismos y no pueden propagarse automáticamente.

Leap fue seguido rápidamente por otra muestra de malware, una prueba de concepto de un gusano llamado Inqtana que se propagaba usando una vulnerabilidad de la conexión Bluetooth.

Así que la próxima vez que alguien te diga que no existen los virus para Mac OS X ahora puedes responderle con autoridad “¡Por supuesto que hay!”

Jahlav (2007)

Las cosas se pusieron realmente feas con Jahlav (también conocido como RSPlug), una familia de malware que empleaba una técnica frecuentemente utilizada en amenazas dirigidas a sistemas Windows y que consistía en cambiar la configuración DNS del sistema infectado. Existieron varias versiones de Jahlav, que frecuentemente se camuflaba en forma de falso códec de vídeo necesario para visualizar contenido pornográfico.

jahlav

Por supuesto, los criminales detrás de estos ataques sabían que este camuflaje era un ejemplo altamente efectivo de cómo la ingeniería social podía engañar a mucha gente para que diera a una aplicación permisos para ejecutarse en su ordenador.

La verdad fue que muchos usuarios de Mac, tal y como sucedía con los de Windows, bajaban la guardia si creían que una aplicación así les ayudaría a ver contenido pornográfico.

MacSweep (2008)

En un ejemplo temprano de scareware para Mac OS X, MacSweep intentaba engañar a los usuarios haciéndoles creer que se habían encontrado problemas de seguridad y privacidad en sus ordenadores. En realidad, las alertas que se mostraban estaban diseñadas para que los usuarios compraran la versión completa de este falso software antivirus.

Snow Leopard (2009)

Por supuesto, Snow Leopard no es un malware ya que se trataba de la versión 10.6 de Mac OS X lanzada en agosto de 2009.

La razón por la que está incluido en esta historia del malware para Mac OS X es porque fue la primera versión del sistema operativo en incluir una protección antivirus básica (aunque de una forma bastante rudimentaria).

osx-xprotect

Apple, preocupada por la propagación y las alarmas que generaron las infecciones causadas por la familia del malware Jahlav, decidió tomar cartas en el asunto.

Sin embargo, su funcionalidad antivirus solo era capaz de detectar malware bajo ciertas circunstancias (e inicialmente solo cubría dos familias de malware). Parecía claro que aquellos usuarios de Mac concienciados sobre la seguridad de sus sistemas quizá necesitasen algo mejor.

Boonana (2010)

Este troyano basado en Java demostró que el malware multiplataforma había llegado para quedarse atacando sistemas Mac, Linux y Windows.

Esta amenaza se propagaba mediante mensajes publicados en redes sociales camuflado en forma de vídeo y realizando la siguiente pregunta: “¿Es tuyo este vídeo?”.

boonana

Obviamente, tras esta aparentemente inocente pregunta se ocultaba toda una campaña de propagación de malware que hacía que los usuarios despistados que pulsaran sobre el enlace se descargaran un malware camuflado de un supuesto applet para poder ver el vídeo.

MacDefender (2011)

Con MacDefender vimos como el número de infecciones para Mac llegaban a un nuevo nivel ya que muchos usuarios vieron como aparecían falsas alertas de seguridad en sus sistemas.

Utilizando técnicas maliciosas de optimización del motor de búsqueda, los ciberdelincuentes consiguieron desviar tráfico hacia sitios web especialmente preparados que alojaban falsos antivirus cuando los usuarios buscaban cierto tipo de imágenes.

Por supuesto, el peligro se encontraba en que a los usuarios se les incitaba a que pagaran cuanto antes por esta falsa protección usando la tarjeta de crédito para terminar con estos mensajes alarmantes.

macdefender

Decenas de miles de usuarios contactaron con el servicio técnico de Apple solicitando asistencia para resolver este tipo de infecciones.

Flashback (2011/2012)

El malware Flashback en 2011/2012 supuso el ataque más extendido jamás visto en la plataforma Mac hasta la fecha, afectando a más de 600.000 ordenadores Mac.

flashback

Esta amenaza se hacía pasar por un instalador falso de Adobe Flash Player y se aprovechaba de una vulnerabilidad sin solucionar de Java. Su finalidad era el robo de datos como contraseñas e información bancaria de los ordenadores Mac infectados, además de redirigir los resultados de los motores de búsqueda para engañar a los usuarios y dirigirlos hacia contenido malicioso.

En septiembre de 2012, investigadores de ESET publicaron un análisis técnico del malware Flashback que merece leerse si se quiere saber más acerca de esta amenaza.

Lamadai, Kitm y Hackback (2013)

Durante los últimos meses, los Macs también han sido utilizados en labores de espionaje y, obviamente, todas las sospechas han apuntado a las agencias de inteligencia y atacantes apoyados por gobiernos con objetivos muy específicos.

El troyano Lamadai, por ejemplo, tenía como objetivo ONGs (organizaciones no gubernamentales) tibetanas y se aprovechaba de una vulnerabilidad en Java para descargar malware adicional en los ordenadores infectados.

lamadai

Mientras tanto, Kitm y Hackback espiaron a sus víctimas en el Foro de la Libertad de Oslo, proporcionando a los atacantes la habilidad de ejecutar comandos a su voluntad en los sistemas infectados.

LaoShu, Appetite y Coin Thief (2014)

Así las cosas, ¿que ha pasado en lo que llevamos de 2014? ¿Está siendo el décimo aniversario de Mac OS X un año destacable?.

Bueno, de acuerdo con los investigadores de ESET, se siguen observando nuevas variantes de malware para Mac cada semana, lo que pone a aquellos usuarios de Mac que no protegen sus sistemas en riesgo de perder sus datos o de comprometer la seguridad de su sistema por un ataque.

El espionaje patrocinado por los gobiernos sigue haciendo acto de presencia, con el descubrimiento de Appetite, un troyano para Mac OS X que ha sido usado en varios ataques dirigidos contra departamentos gubernamentales, oficinas diplomáticas y empresas.

angry-bird-170

Por su parte LaoShu se ha ido propagando a través de mensajes spam haciéndose pasar por un aviso de entrega de FedEx, y sacando a la luz interesantes documentos que no habían sido asegurados de forma adecuada.

No obstante, la mayor parte de la atención reciente ha ido hacia CoinThief ya que se distribuía en una versión crackeada de Angry Birds, Pixelmator y otras aplicaciones conocidas, llevando a los usuarios a infectarse.

Lo que hizo a CoinThief en un malware interesante fue que los investigadores encontraron que este malware estaba diseñado para robar credenciales de acceso a varios sitios web relacionados con el intercambio y almacenamiento de Bitcoines a través de barras de herramientas maliciosas para navegadores.

En resumen, protégete.

Esta ha sido una breve historia del malware para Mac OS X. Si se desea aprender más acerca de estas amenazas o se está interesado en alguna de las muestras para Mac que hemos visto en ESET durante los últimos 10 años, aconsejamos consultar nuestra web “Información sobre las amenazas para Mac” y descargar la versión de evaluación de ESET Cybersecurity para Mac.

A pesar de que no existe ni de lejos tanto malware para Mac como sí lo hay para Windows, cada nueva amenaza que aparece debe ser considerada como importante, y sabemos que los ciberdelincuentes están trabajando duro para encontrar nuevas víctimas.

Josep Albors



Todavía hay un 5% de “valientes” que no utilizan ningún sistema de seguridad en su ordenador

(¿La habíais echado de menos? ¡Nosotros sí! De nuevo tenemos a nuestra genial Yolanda con nosotros)

Así nos lo cuenta AV-Comparatives, que ha publicado la cuarta entrega de su encuesta sobre antivirus, que lleva por título Anti-Virus Survey Report, y que recoge SiliconWeek.

El estudio ha recogido información de más de cinco mil personas a nivel mundial, y extrae conclusiones bastante interesantes, como lo que los usuarios consideran que los tres aspectos más importantes que tiene que tener un producto encargado de la seguridad son, por orden de importancia, el poco efecto en el rendimiento del sistema, una buena velocidad de detección, y una buena capacidad para eliminar malware.

 eset-nod32-antivirus-estudio-avcomparatives-ordenador-sin-proteccion

Esto me recuerda cuando hace muchos años utilizábamos como argumento de marketing la cantidad de virus que cada programa era capaz de detectar y de neutralizar, ya que no había sistemas automáticos de reconocimiento de amenazas informáticas, clasificación y desinfección. Y claro, conseguir muestras de los virus que estaban circulando para poder incorporarlas al que llamamos “fichero de firmas” era harto complicado. Si se creaba un bicho en Algeciras, tardaba meses en cruzar España y llegar a Vigo.

Con la era de Internet todo esto ha cambiado: somos capaces de detectar mucho antes amenazas informáticas con sistemas automáticos .Y cuando hace algunos años cada día se incorporaban 10 nuevos virus al fichero de firmas para poder ser detectados y neutralizados, hoy hablamos de miles diarios. A lo que hay que añadir que ya hay tecnologías en cada ordenador individual capaces de reconocer por sí mismas nuevas amenazas y de neutralizarlas, sin saber nada antes de ellas.

Así que ahora se valora mucho más otras cosas que la capacidad de detección, porque, como a los soldados al acabar la mili, el valor se le supone. Y es que no hay diferenciación ya entre productos en cuanto a qué son capaces de detectar –desde el punto de vista del usuario-, mientras que sí hay mucha sensibilidad con que el antivirus no ralentice y con que sea rápido haciendo lo que tiene hacer. Otra cosa es la típica empresa que utiliza antivirus gratuitos suponiendo que son geniales y se infecta, y entonces, acordándose de Santa Bárbara cuando truena (Seguimos con la mili, patrona de Artillería), acuden a buscar un profesional que les ayude instalándoles, a partir de ese momento, un antivirus de pago… Pero en este país –y creo que también en otros- somos “asín” ;-).

Además, el estudio también nos cuenta que hay diferentes hábitos de uso de antivirus según estemos hablando de Estados Unidos o de Europa, y que al otro lado del charco, un porcentaje muy alto utiliza soluciones gratuitas mientras que en Europa, que valoramos mucho el soporte técnico y que haya alguien al otro lado echándonos una mano cuando hace falta, preferimos como primera opción los antivirus de pago.

Eso sí, no especifica si los que se llaman usuarios de soluciones gratuitas incluye también los “piratillas” que no adquieren la licencia pero que con el uso de diversas triquiñuelas consiguen, durante un rato, utilizar las versiones comerciales sin pagar.

Pero sí arroja otro dato interesante: todavía hay un 5% de valientes a nivel mundial que no utiliza ningún antivirus en su ordenador (no especifica si son usuarios Apple, Linux o Windows). Tanto si se tienen muchos conocimientos informáticos como si se trata de usuarios noveles o medios de las nuevas tecnologías, el no utilizar antivirus es como irte de vacaciones, dejar la puerta y las ventanas de tu casa abiertas de par en par y además colgar un cartel en la fachada que diga “señores ladrones, pasen ustedes libremente y sin prisas. Llévense lo que quieran, estamos de vacaciones. ¡Ah! Y en la nevera hay refrescos” ;-).

Bueno, un estudio más de los serios que arrojan algo de luz acerca de cómo se comporta el mercado. Y que, dicho sea de paso, sitúa a ESET entre el top 3 de principales marcas de antivirus utilizadas a nivel mundial, dicho por los propios usuarios (que luego no diga nadie que nosotros mismos nos echamos flores ;-). Así que gracias a todos los que confiáis en ESET vuestra seguridad, porque gracias a vosotros, cada día somos mejores.

Feliz fin de semana, trop@!

Yolanda Ruiz
@yolandaruiz



Los Angry Birds usados para propagar malware para Mac

Categorias: Apple,General,Mac,Malware | | Sin comentarios » |

Investigadores de ESET nos alertan de un tipo de malware para Mac que roba Bitcoins a través de aplicaciones modificadas para propagar el código malicioso. En concreto se trata del troyano OSX/CoinThief que infecta ordenadores que usan Mac OS X, instalando complementos maliciosos en el navegador para robar las credenciales de sitios dedicados al intercambio de bitcoins.

 

angrybirds-623x4321

Los expertos han desvelado que CoinThief se está propagando mediante redes de intercambio de archivos P2P, escondido dentro de versiones crackeadas de aplicaciones muy famosas para Mac OS X, tales como:

  • El editor de texto para Mac: BBEdit
  • El editor de gráficos: Pixelmator
  • El popular juego Angry Birds
  • El catálogo multimedia Delicious Library

Los delincuentes que están detrás de CoinThief quieren sacar partido de la locura que se está viviendo con los bitcoines y la fluctuación en su cotización, irrumpiendo en los monederos digitales de los usuarios“, afirma el investigador de seguridad Graham Cluley, que ha escrito sobre esta amenaza en el blog de ESET “We Live Security“. “Tal y como ha demostrado el equipo de investigación de ESET, los usuarios de Mac que han descargado e instalado aplicaciones piratas desde sitios torrent, no sólo están privando a los desarrolladores de sus legítimos ingresos, sino que están arriesgando sus ordenadores y su economía“, explica.

Según las estadísticas de detección ofrecidas por ESET LiveGrid, esta amenaza está afectando fundamentalmente a usuarios de Mac en Estados Unidos. CoinThief fue detectado a primeros de mes por los investigadores de SecureMac, que descubrieron que se había distribuido a través de sitios famosos de descargas, como Download.com y MacUpdate.com, escondidos en versiones troyanizadas de Bitcoin Ticker TTM (To The Moon), BitVanity, StealthBit y Litecoin Ticker.

Consejos

Desde aquí, más allá de que seas usuario de Bitcoin o no, aconsejamos a los usuarios de Mac que protejan sus equipos con un antivirus actualizado y que resistan la tentación de descargar software pirateado. Lo recomendable es dirigirse a una fuente legítima como el sitio web de cada desarrollador o el App Store para Mac.

Si desafortunadamente eres uno de los usuarios infectados por el OSX/CoinThief, aquí tienes algunas instrucciones de limpieza que te pueden resultar útiles. 

 

Adaptación del post de Graham Cluley para We Live Security

 

Enlaces Relacionados: 

- Los Angry Birds, ¿luchan contra cerdos o son también espías?

- Apple publica una actualización urgente para iPhone y iPad

 

 



Apple publica una actualización urgente para iPhone e iPad

Si estás usando un iPhone o un iPad, ahora sería un buen momento para actualizar el sistema operativo iOS a la última versión 7.0.6. Apple acaba de publicar una actualización urgente para el popular sistema operativo utilizado en sus dispositivos móviles que soluciona una grave vulnerabilidad en la verificación de conexiones SSL, tal y como explica la propia Apple en su web de soporte.

Pero antes de nada, si nos aparece una pantalla similar a la que mostramos a continuación en nuestro iPhone o iPad, hagámosle caso e instalemos esta actualización de seguridad.

ios706

¿En qué consiste esta vulnerabilidad?

Una vez cerrado este agujero de seguridad, pasemos a analizar en que consiste puesto que la mayoría de usuarios de estos dispositivos  no sabrán muy bien en que consiste un “parche para verificar una conexión SSL”. Después de todo, este es un lenguaje bastante técnico.

Para explicarlo de forma comprensible, podríamos decir que tu dispositivo móvil de Apple tiene una vulnerabilidad crítica que permitiría a un atacante interceptar lo que deberían ser comunicaciones seguras entre tu iPhone/iPad y sitios web con protección SSL.

¿Qué es SSL?

SSL es aquello que bancos y tiendas online utilizan para proteger nuestra interacción con ellos cuando realizamos operaciones por Internet. Suele estar representado por el icono de un candado en la barra de direcciones del navegador, justo al lado de “https//direcciónweb”. El problema derivado de esta vulnerabilidad ya solucionada sería que un atacante podría obtener nuestras credenciales de acceso cuando intentemos acceder a sitios web que nos las soliciten.

Curiosamente, SSL también se utiliza para verificar las actualizaciones de software, los conocidos como parches de seguridad como el que estamos comentando hoy. Esto supone otro posible vector de ataque para los ciberdelincuentes que busquen tomar el control de los dispositivos vulnerables.

Esto significa que, para realizar esta y cualquier otra actualización importante de seguridad, deberíamos hacerlo en una red de confianza y no en la primera red Wi-Fi que encontremos cuando estemos tomándonos un café (a menos que conozcamos al dueño del bar y sepamos que esta tan maniático por la seguridad como nosotros).

Posibles ataques

No obstante, el problema principal de muchos investigadores a estas alturas es que los ciberdelincuetes hayan analizado el parche lanzado por Apple y, utilizando ingeniería inversa, sepan cómo aprovechar la vulnerabilidad en dispositivos sin actualizar. Otra de las preocupaciones es que el mensaje que nos invita a actualizar la versión de iOS no aparece todavía en todos los dispositivos móviles de Apple, dejando abierta una ventana de tiempo que los atacantes pueden aprovechar.

Además, a muchos de los usuarios de iPhone/iPad que les aparezca un mensaje de actualización como el que hemos visto no les parecerá tan importante puesto que la mayoría desconocerán que es SSL, a pesar de que lo usen a diario sin saberlo. Así que, si estás leyendo esto, lo mejor que puedes hacer tras actualizar tu dispositivo iOS es avisar a tus amigos y familiares para que hagan lo mismo tan pronto como reciban la solicitud de actualización.

Riesgos en Mac

¿Y qué pasa con los millones de ordenadores Mac? Ellos también tienen esta vulnerabilidad pero la actualización que la soluciona aún no ha sido publicada. Si sois usuarios de Mac, permaneced atentos a la publicación de este parche y actualizad tan pronto como aparezca, siempre desde una red de confianza.

Otra posible (y recomendable) medida de seguridad es utilizar navegadores como Firefox o Chrome en lugar de Safari ya que estos abortan las conexiones vulnerables. Podemos revisar si somos vulnerables navegando, por ejemplo, a la web gotofail.com y comprobar si nuestro navegador presenta este fallo de seguridad.

XS-2014-02-22-at-1.42.51-PM

Esta nueva vulnerabilidad demuestra que, independientemente del Sistema operativo utilizado, las actualizaciones de seguridad son cruciales para mantenernos protegidos. Esperemos que Apple publique pronto el parche para los usuarios de Mac y que los usuarios de iPhone/iPad actualicen cuanto antes sus dispositivos para evitar problemas con la seguridad de sus comunicaciones.

Josep Albors

Enlaces relacionados:

Apple lanza iOS 7 y aparecen los primeros fallos

Apple y Microsoft publican parches de seguridad para Mac OS X y Windows



ESET Lanza la Beta de ESET Rootkit detector para OS X

Categorias: Apple,Mac,Malware,rootkit | | Sin comentarios » |

El siguiente post es una traducción y adaptación del post original escrito por nuestro compañero Pierre-Marc Bureau en el blog de ESET We Live Security.

Un rootkit es un software malicioso que tiene la capacidad de ocultarse en un sistema infectado. Esto se consigue enganchándose a funciones del sistema. Un rootkit podría, por ejemplo, ser usado para ocultar ficheros de la vista del usuario al modificar las funciones responsables de mostrar los contenidos de un directorio. Los rootkits son utilizados frecuentemente en combinación con otros tipos de malware, que los oculta a ojos de los usuarios y de algunas soluciones de seguridad. El número de familias de malware que poseen características de rootkit y afectan a sistemas Windows es de varias decenas.

En ESET creemos que pueden haber rootkits que tengan a OS X como objetivo, pero tenemos una visibilidad muy reducida sobre esa amenaza ahora mismo. Sabemos que desconocemos muchas cosas. También sabemos que hay varias web e incluso varios libros [1,2] que han documentado cómo trabajan los rootkits en OS X. Hemos visto malware en OS X utilizando técnicas de rootkit en el pasado. El ejemplo más destacable fue el de OSX/Morcut [3], también conocido como Crisis por otros fabricantes de antivirus. Este malware se utilizó para robar información de Macs infectados y cargaba una extensión del kernel para ocultar sus archivos de la víctima.

La detección  de un rootkit bajo OS X normalmente implica realizar un volcado y analizar la memoria del kernel. Requiere tiempo y conocimiento y no es algo accesible para cualquiera.

ERD_screenshot_infectedPNGHoy, ESET lanza la beta de una herramienta sencilla para detectar rootkits en OS X. Esta herramienta, de nombre ESET Rootkit Detector, puede descargarse desde el enlace que hemos habilitado en nuestra web. Está diseñado para detectar modificaciones en la memoria del kernel de OS X que podrían indicar la presencia de un rootkit. Su utilización es muy simple ya que el usuario tan solo debe descargar y ejecutar la aplicación. Debido a que se necesita una extensión del kernel para detectar modificaciones en la memoria del kernel, se le pedirá al usuario que conceda permisos de administrador. Tras unos segundos de análisis, se muestra el resultado al usuario.

Si se encontrase algún módulo malicioso, se le da la opción al usuario de enviar un informe a ESET. Buscamos ayuda para ser conscientes de lo que no conocemos todavía. Nuestro equipo de ingenieros especializados en analizar malware se encargarán de revisar los ficheros y asegurarse de que los usuarios se encuentran debidamente protegidos en el caso de que se descubra una nueva amenaza.

ERD_screenshot_prescan

No hay que olvidar que esta herramienta se encuentra aún en fase beta y no recomendamos ejecutarla en un equipo que se encuentre en producción. Por otro lado, nos encantaría tener a tanta gente como sea posible probando y jugando con ella. Esto nos permitirá ver cómo de bien está funcionando nuestra nueva tecnología y, en el caso de encontrar algo, este será un gran material de análisis que nos permitirá detectar y documentar mejor aquellos rootkits que tengan como objetivo OS X. Siempre necesitamos saber más acerca de lo que desconocemos.

[1] Charlie Miller, Dino Dai Zovi, The Mac Hacker’s Handbook, Marzo 2009, ISBN: 0470395362

[2] Paul Baccas, Kevin Finisterre, Larry H., David Harley, Gary Porteous, OS X Exploits and Defense, Elsevier 2008, ISBN: 978-1-59749-254-6

[3] http://www.virusradar.com/en/OSX_Morcut/detail

Josep Albors



Nuevo troyano para Mac contiene referencias al Ejército Electrónico Sirio

Categorias: Apple,backdoor,Mac,Troyanos | | 1 Comentario » |

Una nueva amenaza para OS X ha sido descubierta en los últimos días por investigadores de la empresa de seguridad Intego. En este caso se trata de un troyano que fue detectado en el servicio Virustotal hace menos de una semana, enviado por un usuario en Bielorrusia.

Esta nueva amenaza genera una puerta trasera en los sistemas OS X infectados, permitiendo recibir órdenes desde un centro de mando y control (C&C) aunque, cuando los investigadores analizaron esta amenaza, este servidor ya no se encontraba operativo. El hecho de que la propagación de este malware haya sido escasa y que aún se desconozca el método de entrega del malware hace pensar que se trate de un ataque dirigido hacia objetivos concretos.

El troyano se presenta en forma de una aplicación camuflada bajo la apariencia de una fotografía romántica. Aquellos usuarios más despistados pueden caer en la trampa pensando que se trata tan solo de una inocente imagen, ya que la extensión de la aplicación (.app) no se muestra por defecto. Como ya hemos dicho, la forma de distribución de este malware aún no está clara, podría haberse enviado por correo o colocado en una página web legítima que hubiera sido comprometida.

foto_app

Los investigadores de Intego comprobaron que dependiendo de la forma en la que se reciba el fichero malicioso, su comportamiento variaba ligeramente. No obstante, cuando conseguía instalarse, el troyano intentaba camuflarse como una imagen cualquiera, cosa que consigue en la mayoría de ocasiones. Una vez ha conseguido infectar el sistema, este malware muestra la imagen en la aplicación Preview para que el usuario piense que solamente ha descargado la imagen, mientras instala una puerta trasera que permite a un atacante enviar una serie de comandos variados a través del puerto 7777.

La datos enviados al atacante incluyen información del sistema infectado, pero también permiten enviar comandos de ping para comprobar que la conexión se encuentra activa. No obstante, la acción más curiosa de todas y la que más revuelo ha generado, es aquella por la que intenta descargar la siguiente imagen perteneciente al Ejército Electrónico de Siria (conocido por otras acciones hacktivistas recientes) en el sistema infectado.

syrian electronic army logo

Esta amenaza se suma a otra de reciente descubrimiento que volvía a tener como objetivos a grupos activistas pro-Tíbet. Esto no supone que los Mac se hayan vuelto vulnerables de la noche a la mañana, ya que han existido amenazas para esta plataforma desde prácticamente sus comienzos. No obstante, el aumento del malware para este sistema operativo en los últimos años debería servir para erradicar definitivamente el mito de que los Mac no pueden infectarse.

Usar OS X hoy en día no garantiza que estemos seguros, si bien sigue siendo una plataforma mucho menos atacada que Windows. Si nos preocupamos por nuestra seguridad no debemos pensar que nuestro ordenador es invulnerable solo porque algún mensaje publicista lo diga o porque otros usuarios se obcequen en creerlo (sí, esto también va por los usuarios de GNU/Linux). La mayoría de sistemas operativos actuales cuentan con mecanismos de defensa que pueden ayudarnos a mitigar una gran parte del malware existente. Solo hace falta molestarnos en aprender a utilizarlos adecuadamente y nos ahorraremos muchos problemas.

Josep Albors



Una cadena de caracteres en árabe hace fallar aplicaciones en OS X e iOS

Categorias: Apple,Mac | | Sin comentarios » |

Estamos ante uno de los fallos más curiosos de los últimos meses y que afecta a aplicaciones de OS X e iOS, es decir Macs e iPhones/iPods/iPads. Durante la tarde de ayer no pararon de sucederse las noticias acerca de un curioso fallo que hacía que los navegadores y otro tipo de aplicaciones funcionando en los sistemas operativos de Apple se colgasen o fallasen. Este hecho era producido con solo visitar algún enlace que contuviera una cadena específica de caracteres en árabe sin un sentido aparente.

enlace

Fuente de la imagen Ars Technica

Al tratar de leer esta cadena de caracteres, tanto el navegador Safari como varias aplicaciones fallan. Chrome también tiene problemas para procesar esos caracteres, pero su sandbox evita que falle todo el navegador y tan solo muestra una página de error. Por su parte, Firefox no tiene problema alguno para mostrar el texto, ya que utiliza su propio motor de renderizado y no la API de CoreText causante de este problema.

Por supuesto, tan pronto como se supo de este fallo, muchos usuarios aprovecharon para gastar bromas a algunos de sus contactos en redes sociales como Twitter y Facebook que usasen OS X o iOS. Miles de usuarios vieron cómo sus aplicaciones fallaban irremediablemente al intentar ver la fatídica cadena de caracteres en árabe en su timeline de Twitter o Facebook. De hecho, se produjeron tantos casos que Facebook se vio obligado a bloquear cualquier intento de publicar estos caracteres para evitar que los usuarios que se conectaran desde OS X e iOS no pudieran acceder a revisar su timeline.

facebook-block

Fuente de la imagen Ars Technica

Esto también afecta a servicios como iMessage, por lo que el usuario entra en un bucle continuo al mostrarse los caracteres causantes del problema cada vez que se intenta acceder a la aplicación. Algo parecido a lo ocurrido con algunos clientes de correo electrónico si se reciben emails con estos caracteres en el asunto. Incluso mostrando los nombres de los puntos de acceso de redes Wi-Fi pueden haber problemas cada vez que un usuario intenta visualizar los que tiene a su alcance.

Algunas fuentes indican que este fallo ha sido solucionado tanto en OS X 10.9 como iOS 7, sistemas que están ultimando su lanzamiento. No obstante, Apple no ha dicho nada aún acerca de lanzar un parche que solucione este fallo en los sistemas actuales, algo especialmente grave si se comprueban como verídicas las informaciones que muestran la existencia de este fallo desde hace al menos seis meses.

Ahora toda la labor de los investigadores se centra en averiguar si este fallo se podría aprovechar para algo más que hacer fallar algunas aplicaciones en sistemas OS X e iOS. Algunos ya apuntan a la posibilidad de utilizarlo para conseguir ejecutar código malicioso en un dispositivo Apple vulnerable, aunque aún no se ha podido demostrar tal extremo y no lo sabremos hasta que se haga un análisis a fondo del bug.

De momento, todo queda en una molestia para usuarios de dispositivos Apple, pero debemos estar atentos por si alguien consigue aprovechar este fallo para ejecutar código malicioso. A día de hoy, el único consejo viable que se puede ofrecer es intentar utilizar Firefox para navegar por webs que puedan contener esta cadena de caracteres, aunque hay otras muchas aplicaciones que se ven afectadas y para las cuales no existe una solución de momento.

Josep Albors



Apple y Microsoft publican parches de seguridad para Mac OS X y Windows

Categorias: actualizaciones,Apple,Mac,Vulnerabilidades | | 1 Comentario » |

Apple y Microsoft han publicado estos días varias actualizaciones de seguridad para las diversas versiones de sus sistemas operativos Windows y Mac OS. Microsoft sigue con su periodicidad de publicar estas actualizaciones cada segundo martes de cada mes y, en esta ocasión, son cinco los boletines de seguridad.

De estos cinco boletines, tan solo uno tiene consideración de crítico y afecta a versiones de Internet Explorer de la 6 a la 10, solucionando fallos que podrían permitir la ejecución remota de código. El resto de boletines son calificados como importantes y afectan, además de a Internet Explorer, a Microsoft Office y a diferentes versiones de Windows.

El parche de seguridad para Office soluciona un agujero de seguridad en esta aplicación que podría permitir a un atacante ejecutar código de forma remota en Office 2003 para Windows y Office 2011 para Mac.

Se desconoce si entre los parches que se han publicado para solucionar varias vulnerabilidades en diferentes versiones de Windows se encuentra el que soluciona la vulnerabilidad descubierta recientemente por el ingeniero de Google Tavis Ormandy.

logos_MS_OSX

Por su parte, Apple también ha publicado hace poco varios parches de seguridad para su sistema Mac OS X. Nada menos que 33 son las vulnerabilidades solucionadas por esta segunda actualización importante en lo que va de año, además de las 26 que soluciona el navegador Safari.

Estas actualizaciones van dirigidas a los sistemas Lion y Mountain Lion, solucionando tanto fallos de seguridad del sistema como de aplicaciones de terceros. Además, desde esta actualización se comprueba que las aplicaciones Java Web Start descargadas desde Internet se encuentran firmadas antes de ejecutarse en el sistema. En caso de no estarlo, Gatekeeper impedirá su ejecución.

Esta última medida es bastante significativa, y se agradece que se adopte tras comprobar que muchas de las amenazas que más se han propagado recientemente han utilizado agujeros de seguridad en Java para conseguir infectar a un elevado número de sistemas.

Como siempre que se publican este tipo de actualizaciones de seguridad, es importante que estas se apliquen en nuestros sistemas lo antes posible para evitar que las amenazas que se aprovechan de estas vulnerabilidades nos afecten.

Josep Albors



Descubierto nuevo malware para Mac que captura la pantalla de la víctima

Categorias: Apple,backdoor,Espionaje,Mac,Malware,spyware | | 2 Comentarios » |

El malware para Mac sigue aumentando y, cada cierto tiempo, se descubren nuevas amenazas para los ordenadores de Apple. Una de las amenazas detectadas recientemente fue descubierta durante la celebración del Oslo Freedom Forum, un evento organizado precisamente para ayudar a protegerse a los activistas de varias organizaciones de espionaje gubernamental.

Fue en ese foro donde el investigador Jacob Appelbaum detectó algo sospechoso en el ordenador Mac de uno de los activistas, y que resultó ser una nueva amenaza para este sistema. Este malware tiene funciones de puerta trasera y está diseñado para robar información del ordenador infectado. Se instala en el sistema como una aplicación de nombre “macs.app” que se ejecuta automáticamente después de que el usuario se haya registrado en el sistema.

IDDeveloper_Apple

Un dato importante es que este malware se encuentra firmado con un identificador de desarrollador de Apple, algo que permitiría a esta amenaza sobrepasar algunas medidas de protección de Mac como la prevención de ejecución de ficheros conocida como Gatekeeper.

Nuestros compañeros de F-Secure han estado echando un ojo a esta amenaza y han descubierto algunos datos curiosos, como que el malware realiza capturas de pantalla periódicamente y las guarda en una carpeta del sistema de nombre MacApp.

captura_pantalla

A pesar de que este malware no se encuentra, ni mucho menos, extendido y su eliminación es relativamente fácil, demuestra el interés creciente de algunos ciberdelincuentes (o incluso gobiernos) por infectar a usuarios de Mac. Es importante aplicar las medidas de seguridad básicas independientemente del sistema operativo que estemos usando, medidas que incluyen utilizar el sistema con privilegios limitados, actualizar periódicamente el sistema y las aplicaciones instaladas, no descargar aplicaciones de sitios que no inspiren confianza, contar con una solución antimalware con cortafuegos y, sobre todo, aplicar el sentido común.

Josep Albors

 



Falso códec de vídeo instala malware en Mac

Categorias: adware,Apple,Mac | | Sin comentarios » |

De nuevo tenemos que hablar de una nueva amenaza adaptada a sistemas Mac OS/X que se está propagando durante estos días, y es que, a pesar de los esfuerzos realizados por Apple, el interés creciente de los ciberdelincuentes en los Mac ha hecho que ya no sea extraño ver cómo van apareciendo periódicamente nuevas amenazas para este sistema operativo.

En esta ocasión analizaremos el malware identificado por las soluciones de seguridad de ESET como OSX/Adware.Yontoo.A, una variante de un malware diseñado originalmente para sistemas Windows y que ha dado el salto a la plataforma de Apple. La técnica utilizada es bastante simple y consiste en engañar a los usuarios para que instalen un falso códec de vídeo cuando visitan una web infectada, como la que mostramos a continuación:

eset_nod32_yontoo_shot_red

Tal y como se observa en la captura, el mensaje indica al usuario que es necesario descargar un códec de vídeo para poder visualizar el contenido de esa web. Se proporciona además un botón desde el cual el usuario podrá descargar el supuesto códec, acción que no debemos realizar si queremos mantener seguro nuestro sistema. Si caemos en la trampa y pulsamos sobre ese botón, esto es lo que veremos a continuación:

eset_nod32_yontoo_codec_tricks

Si nos fijamos atentamente en la imagen anterior podremos observar cómo el supuesto instalador del códec dice estar preparado para sistemas Windows, algo que debería hacernos sospechar, ya que nosotros hemos solicitado instalarlo desde un Mac. Aparte de eso, esta web podría pasar por algo legítimo para un usuario desprevenido y al pulsar sobre el llamativo botón de color azul descargaríamos un complemento o extensión para el navegador conocido por Yontoo y que se agregaría a los navegadores más populares usados en Mac (Safari, Chrome y Firefox).

Si finalmente se nos instalase este complemento, empezaremos a sufrir el bombardeo constante de anuncios indeseados y redirecciones a sitios web con más publicidad que no hemos solicitado . También hemos comprobado que algunos usuarios terminan instalándose malware adicional al acceder a sitios web con falsos reproductores multimedia. En cualquier caso, el objetivo final de los ciberdelincuentes es conducir a los usuarios infectados a sitios web donde se paga por hacer clic en los anuncios y así conseguir importantes beneficios.

Protección y desinfección

Si disponemos de una solución de seguridad en nuestro Mac como ESET Cyber Security, esta amenaza será detectada y bloqueada antes de que pueda infectar nuestro sistema. Las variantes detectadas tanto en Mac OS como en Windows se denominan OSX/Adware.Yontoo y Win32/Adware.Yontoo, respectivamente.

eset_nod32_blockings

Si recibimos publicidad constante mientras navegamos y creemos estar infectados, podemos revisar los complementos instalados en nuestro navegador, tal y como vemos a continuación:

Firefox

eset_nod32_yontoo

Safari

eset_nod32_plugin

Chrome

eset_nod32_yontoo_chrome

Tal y como apunta nuestro compañero Stephen Cobb, autor del post original en el blog de ESET, se puede usar el buscador de ficheros incorporado en Finder para buscar este complemento malicioso y eliminarlo de todos los buscadores en los que se haya instalado. Para ello solo debemos acceder a la carpeta Librería > Internet Plug-Ins, localizada en nuestro disco duro y eliminar el complemento Yontoo. Los archivos que se han de eliminar son: Yontoo.safariextz, YontooFFClient.xpi y YontooLayers.crx.

Como vemos, la portabilidad de malware diseñado originalmente para Windows a sistemas Mac OS es algo más frecuente de lo que mucha gente piensa. Además, viendo la facilidad con la que se traslada este tipo de malware a diversas plataformas y los beneficios que reporta a los ciberdelincuentes, no nos extrañaría ver aparecer más casos de este estilo en las próximas semanas.

 Josep Albors



Artículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje