Menú principal

lunes, 2 de mayo de 2011

MacDefender: Rogue AV para Mac OS X distribuido por Pirañas a través de Google Images

Otra de las modas en la distribución de malware ha llegado a Mac OS X, en este caso es la de el malware que simula ser un antimalware, es decir, los Rogue AV. Este tipo de soluciones busca engañar a los usuarios instalándose en el equipo con el supuesto objetivo de proteger al usuario, cuando realmente es un malware.

Este tipo de malware usa prácticas de Ransomware, es decir, de secuestro de archivos de las víctimas y petición de rescate por los mismos, que debe pagarse en forma de falsa vacuna que se compran online. 

Para hacer más creíbles este tipo de soluciones entre los usuarios, se buscan marcas conocidas para el usuario, como Bytedefender, para hacer un rogue AV utilizando el branding de Bitdefender, Security Essentials 2010 para simular ser Microsoft Security Essentials, o hasta el propio James Bond. Un negocio que, incluso, algunas veces lleva incluido hasta la implantación de falsos Call-Centers a los que los usuarios pueden llamar.

En esta ocasión, tal y como se discutía en Apple y contaba TNW, el branding escogido para hacer este falso antimalware para Mac OS X ha sido el de Mac Defender, que no es sino la web de un desarrollador de utilidades para Mac que ha tenido que alertar de esta suplantación de identidad para distribuir malware.

Figura 1: Anuncio de MacDefender alertarndo del Rogue  AV

A la hora de distribuir este tipo de malware se utilizan múltiples trucos, como el de la operación Lizamoon, que llevó hasta el hackeo de la web de Apple.com. En esta ocasión, según contaban los usuarios que se han topado con este malware, estaba siendo distribuido a través del servicio de búsqueda de imágenes de Google cuando se buscaban imágenes de Piranhas.

Figura 2: Búsqueda en Google por Piranhas que lleva al intento de ejecución del Rogue AV

Tras realizar la prueba, hemos podido ver que aún, casi todos los primeros resultados de la búsqueda llevan a imágenes que, al intentar abrirlas, tratan de ejecutar un código ofuscado en un servidor para devolver el rogue AV, que ahora mismo ha sido desactivado.

Figura 3: Código ofuscado que intenta instalar el rogue AV

En The Mac Security Blog han publicado las capturas del proceso de instalación y unas capturas de la herramienta.

Figura 4: Instalación de Rogue AV MacDefender

Para conseguir los máximos privilegios, solicita la password de administrador para dejar infectado definitivamente el equipo, aunque hay que reconocer que el aspecto de la misma es muy "profesional".

Figura 5: Aspecto de la consola de Mac Defender

Mucho cuidado con este tipo de soluciones de seguridad milagrosas y gratuitas que se autodescargan desde la web automáticamente. Lo mejor para los usuarios de Mac OS es estar preparado con una solución antimalware profesional contrastada y no instalarse una herramienta de protección descargada desde cualquier ubicación desconocida.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares