Falso códec de vídeo instala malware en Mac

De nuevo tenemos que hablar de una nueva amenaza adaptada a sistemas Mac OS/X que se está propagando durante estos días, y es que, a pesar de los esfuerzos realizados por Apple, el interés creciente de los ciberdelincuentes en los Mac ha hecho que ya no sea extraño ver cómo van apareciendo periódicamente nuevas amenazas para este sistema operativo.

En esta ocasión analizaremos el malware identificado por las soluciones de seguridad de ESET como OSX/Adware.Yontoo.A, una variante de un malware diseñado originalmente para sistemas Windows y que ha dado el salto a la plataforma de Apple. La técnica utilizada es bastante simple y consiste en engañar a los usuarios para que instalen un falso códec de vídeo cuando visitan una web infectada, como la que mostramos a continuación:

eset_nod32_yontoo_shot_red

Tal y como se observa en la captura, el mensaje indica al usuario que es necesario descargar un códec de vídeo para poder visualizar el contenido de esa web. Se proporciona además un botón desde el cual el usuario podrá descargar el supuesto códec, acción que no debemos realizar si queremos mantener seguro nuestro sistema. Si caemos en la trampa y pulsamos sobre ese botón, esto es lo que veremos a continuación:

eset_nod32_yontoo_codec_tricks

Si nos fijamos atentamente en la imagen anterior podremos observar cómo el supuesto instalador del códec dice estar preparado para sistemas Windows, algo que debería hacernos sospechar, ya que nosotros hemos solicitado instalarlo desde un Mac. Aparte de eso, esta web podría pasar por algo legítimo para un usuario desprevenido y al pulsar sobre el llamativo botón de color azul descargaríamos un complemento o extensión para el navegador conocido por Yontoo y que se agregaría a los navegadores más populares usados en Mac (Safari, Chrome y Firefox).

Si finalmente se nos instalase este complemento, empezaremos a sufrir el bombardeo constante de anuncios indeseados y redirecciones a sitios web con más publicidad que no hemos solicitado . También hemos comprobado que algunos usuarios terminan instalándose malware adicional al acceder a sitios web con falsos reproductores multimedia. En cualquier caso, el objetivo final de los ciberdelincuentes es conducir a los usuarios infectados a sitios web donde se paga por hacer clic en los anuncios y así conseguir importantes beneficios.

Protección y desinfección

Si disponemos de una solución de seguridad en nuestro Mac como ESET Cyber Security, esta amenaza será detectada y bloqueada antes de que pueda infectar nuestro sistema. Las variantes detectadas tanto en Mac OS como en Windows se denominan OSX/Adware.Yontoo y Win32/Adware.Yontoo, respectivamente.

eset_nod32_blockings

Si recibimos publicidad constante mientras navegamos y creemos estar infectados, podemos revisar los complementos instalados en nuestro navegador, tal y como vemos a continuación:

Firefox

eset_nod32_yontoo

Safari

eset_nod32_plugin

Chrome

eset_nod32_yontoo_chrome

Tal y como apunta nuestro compañero Stephen Cobb, autor del post original en el blog de ESET, se puede usar el buscador de ficheros incorporado en Finder para buscar este complemento malicioso y eliminarlo de todos los buscadores en los que se haya instalado. Para ello solo debemos acceder a la carpeta Librería > Internet Plug-Ins, localizada en nuestro disco duro y eliminar el complemento Yontoo. Los archivos que se han de eliminar son: Yontoo.safariextz, YontooFFClient.xpi y YontooLayers.crx.

Como vemos, la portabilidad de malware diseñado originalmente para Windows a sistemas Mac OS es algo más frecuente de lo que mucha gente piensa. Además, viendo la facilidad con la que se traslada este tipo de malware a diversas plataformas y los beneficios que reporta a los ciberdelincuentes, no nos extrañaría ver aparecer más casos de este estilo en las próximas semanas.

 Josep Albors

Comentar

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..