Cryptojacking en macOS. La minería no autorizada también está presente en el sistema de Apple
Parece mentira, pero en pleno 2018 aún quedan muchos usuarios que piensan que únicamente por disponer de un ordenador con el logo de Apple ya están protegidos contra todo tipo de malware. Las campañas de marketing de la empresa y el mantra repetido hasta la saciedad por la mayoría de sus usuarios ha calado hondo, y si bien es cierto que la cantidad de amenazas existentes para macOS o iOS es muy inferior a las que observamos en Windows y Android, eso no es motivo suficiente para relajarnos.
Las tendencias del malware también llegan a Mac
De la misma forma que sucedió con el ransomware, los delincuentes intentan maximizar sus beneficios afectando al mayor número de plataformas posible, algo que se ha vuelto a producir también con el cryptojacking o minería no autorizada de criptodivisas. En esta amenaza debemos tener muy en cuenta que los delincuentes pueden introducir el código de minado en webs comprometidas y ejecutar el script malicioso mientras navegamos, independientemente del sistema operativo o navegador utilizado.
Además, otra de las técnicas más extendidas consiste en descargar y ejecutar aplicaciones de minado en los dispositivos de los usuarios sin que se den cuenta. En meses anteriores se descubrieron algunos mineros camuflados dentro de aplicaciones aparentemente legítimas, e incluso algunas de ellas llegaron a ser distribuidas por tiendas oficiales como la App Store de Apple.
Por ese motivo, hace tiempo que el descubrimiento de nuevas amenazas para sistemas de Apple dejó de ser algo anecdótico y pasó a ser algo que tener muy en cuenta, obligando a más de un usuario a adoptar medidas de seguridad básicas que no había aplicado hasta la fecha por tener una falsa sensación de seguridad.
Un nuevo minero afecta a macOS
Recientemente, investigadores de la empresa de seguridad Malwarebytes han descubierto otra amenaza relacionada con el cryptojacking para el sistema macOS, después de que varios de los usuarios afectados se quejaran de que sus equipos funcionaran a pleno rendimiento con los ventiladores a toda potencia y con un proceso sospechoso devorando los ciclos de la CPU.
El motivo de este funcionamiento anómalo de sus ordenadores estaba provocado por el proceso “mshelper” y otros, relacionados todos ellos con la minería de criptodivisas, y más concretamente con Monero.
Esta amenaza está compuesta por tres módulos diferentes, y a pesar de no ser particularmente avanzada, sí que ha conseguido infectar a varios usuarios de macOS. Por un lado tenemos la parte que se encarga de descargar e instalar el propio malware, conocida como “dropper”.
En el momento de escribir este artículo no se conoce qué ha podido actuar como dropper, pero por experiencias pasadas es bastante probable que se haya camuflado como un falso instalador de alguna aplicación conocida, un documento malicioso o que se haya incluido dentro de alguna aplicación subida a algún sitio de descargas ilegales. En cualquier caso, todo apunta a que no ha sido nada especialmente elaborado.
Tras descargarse el segundo fichero malicioso, se instala un archivo de nombre “pplauncher” en la siguiente ubicación:
~/Library/Application Support/pplauncher/pplauncher
Para que este proceso permanezca ejecutándose de forma permanente es necesario que un demonio del sistema (com.pplauncher.plist) lo ejecute, algo que indica que el dropper del punto anterior ha debido de disponer de privilegios de root. Esto es un indicio de que se le pudo haber pedido al usuario introducir su contraseña de root cuando ejecutó la aplicación maliciosa.
Por otro lado, este ejecutable es más grande de lo que suele ser habitual cuando hablamos de malware, ya que su tamaño es de 3,5 Megabytes. Sus creadores utilizaron Golang como lenguaje de programación y después lo compilaron para que se ejecutara en macOS. El análisis de este malware desvela que, aparentemente, su única función es la de instalar y ejecutar el proceso que realiza el minado.
En lo que respecta a la aplicación de minado, esta se instala en la siguiente ruta:
/tmp/mshelper/mshelper
Tras revisar el proceso, parece que estamos ante una versión antigua y modificada del software de minado legítimo XMRig. Esta modificación hace que todos los beneficios del minado realizado en los sistemas infectados vayan a parar a los delincuentes que lo están propagando.
A pesar de que las funcionalidades del malware se limitan al minado no autorizado de criptodivisas, esto puede ocasionar molestias en un uso habitual de nuestro ordenador Apple e incluso provocar daños en el hardware si el uso es excesivamente intensivo. En el caso de que encontremos el proceso mshelper instalado en nuestro sistema, es recomendable desinstalarlo junto con el resto de archivos relacionados con el malware o analizar el sistema con una solución de seguridad como ESET Cyber Security.
Conclusión
Como ya hemos visto anteriormente con otras variantes de malware, el cryptojacking también tiene a macOS entre sus objetivos. Son ya varios los ejemplos que se han observado y, a pesar de ser menos destructivos que otras amenazas como el ransomware, no dejan de ser molestos, por lo que no debemos menospreciarlos.
Debemos dejar de pensar en los dispositivos de Apple como algo cuya seguridad es inquebrantable y adoptar buenas prácticas de la misma forma que se hace desde mucho tiempo atrás en otras plataformas. De esta manera, nos evitaremos disgustos provocados por amenazas y vectores de ataque que ya creíamos superados.
Related Posts
Sobre el Autor
Josep
Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.