Menú principal

jueves, 26 de abril de 2012

Malware en Mac OS X: Status de Guerra

Últimamente el número de noticias sobre el malware en Mac OS X se ha disparado, y la cantidad de información que llega relativa a todos los frentes abiertos tiene a muchos usuarios preocupados. Quizá lo más preocupante de todo lo acontecido esta semana es el informe de Shopos que deja el títular de que 1 de cada 5 equipos con Mac OS X posee malware.

Por supuesto, no hace falta decir que el malware más encontrado es OSX/FlashBack Trojan - que en ellos catalogan como OSX/Flshplyr, seguido de los FakeAV, o lo que es lo mismo, los falsos antivirus liderados por MacDefender y todas sus variantes. En tercera  y cuarta posición aparecen OSX/RSPlug y OSX/Jahlav, malware de tipo DNS Changer.

Figura 1: Top malware descubierto en Mac OS X

En el trasfondo del titular, que recoge no sólo el malware activo detectado en equipos Mac OS X que estaba diseñado para Mac OS X, sino que también se ha descubierto malware para Windows que aunque no estaba activo, sí que hace a estos equipos portadores de infecciones.

Figura 2: Top de malware para Windows descubierto

OSX/FlashBack.S 

Sin embargo, a día de hoy, lo más impactante en el mundo de malware siguen siendo las estimaciones de infección de FlashBack Trojan. Después de haberse estimado inferiores a 100.000 para después darse cuenta de que no estaban bien hecho los cálculos, la estimación de infectados es de 650.000 equipos.

Estos datos están en continua variación, ya que el malware sigue activo y evolucionándose. La última variante descubierta esta semana, que ha sido bautizada como OSX/FlashBack.S, sigue utilizando la vulnerabilidad de Java ya parcheada por Apple, pero ha cambiado su modus operandi. Una vez se ejecuta, se copia en las siguientes ubicaciones:
~/Library/LaunchAgents/com.java.update.plist 
~/.jupdate 
Y luego borra todo el contenido de la caché ~/Library/Caches/Java/cache para eliminar el Applet usado en la infección y dificultar la labor de los analistas de malware en la recogida de muestras, dificultar la detección del mismo o conocer dónde se copió. De hecho, esta última variante del malware evita instalarse si hay un motor antimalware que va a detectarla, lo que deja a las claras la profesionalidad del malware.

La distribución por WordPress

Para conseguir la distribución masiva de este malware ha sido necesario infectar muchos sitios web para lanzar el exploit y ejecutar el malware. Según un estudio de WebSense, el trabajo se hizo infectando entre 30.000 y 100.000 sitios que usaban Wordpress que eran infectados con un sencillo código en el pie de página.

Figura 3: El código de la infección en WordPress

Ese código dirigía a los visitantes a, según cuentan desde Trend Micro, sitios con BlackHole, uno de los kits de explotación más comunes, para lanzar el Rogue AV de turno, dependiendo de si el sistema operativo de la víctima era Windows o Mac OS X.

Éste es un esquema de distribución tradicional del mundo del malware que explican en el libro de Fraude Online, y que puede infectar a sitios como la propia  web de Apple, o el Servicio Postal Americano, infectado por BlackHole.

Mac OS X y Windows

La conclusión de todo esto es que para los criminales del malware, el que la víctima sea Windows o Mac OS X ha dejado de importar. Ya tienen los troyanos creados para todas las plataformas y sus esfuerzos se basan en las otras partes del proceso de negocio: Infectar webs, conseguir exploits, saltarse los sistemas antimalware y monetizar las infecciones.

Esto obliga al ecosistema Mac OS X, compuesto por la propia Apple, los fabricantes de software y los usuarios, a tomar esta amenaza en serio. Apple tiene que mejorar sus procesos de seguridad y las tecnologías de protección

Eugene Kaspersky dijo esta semana que la seguridad en los productos Apple está 10 años por detrás de la seguridad en Microsoft. Suponemos que dijo esto en relación a los 10 años que Microsoft invirtió en la TrustWorthy Computing Initiative y que ayudó a la compañía a mejorar procesos, comunicación con usuarios y mejorar las tecnologías de seguridad en sistemas Windows.

En cualquier caso, lo que debemos hacer los usuarios de cualquier tecnología es conocer los riesgos y tomar las medidas de protección que puedan ayudarnos a estar más protegidos.

1 comentario:

  1. ¿1 de cada 5 equipos con Mac OS X posee malware? pues imagino cual es la media en equipos con Windows.

    Creo que es mas lo que se pinta que lo que pasa, es mi opinion.

    ResponderEliminar

Artículos relacionados

Otras historias relacionadas

Entradas populares