Menú principal

jueves, 23 de enero de 2014

Malware para OSX: El ataque del “paquete no entregado”

Recientemente se ha visto en crecimiento un una nueva técnica de robo de datos vía malware que afecta a los usuarios de Mac OS X - tal y como explican en Naked Security -, basada en la típica estafa del “Paquete No Entregado” que con tanto éxito se ha explotado durante años en el mundo Windows. La creciente popularidad de OS X entre los usuarios ha atraído a los creadores de malware y era cuestión de tiempo que todos los viejos trucos acaban llegando a la plataforma. Veamos cómo funciona este esquema:

Todo empieza cuando recibimos un e-mail que, aparentemente, procede de una compañía de mensajería. En el correo se nos explican que ha surgido un problema en el reparto de un paquete destinado a nosotros, y se nos da un enlace en el que podremos consultar información relativa al paquete y modificar los datos que se complete el envío.

En ocasiones, estos mensajes pretenden haber sido enviados por compañías de mensajería reales, como DHL y Royal Mail, y otras veces los atacantes utilizan portales completamente falsos creados específicamente para tal fin. A pesar de esto, si el ataque está bien ejecutado, los e-mails pueden llegar a ser extremadamente convincentes, y más aún cuando los atacantes conocen cierta información de la víctima (número de teléfono, empleo, etc…) y pueden llevar a cabo un ataque dirigido.

Figura 1: un correo electrónico con la estafa del paquete perdido en Mac OS X

En el correo de la imagen se puede leer lo siguiente:
Le informamos de que tenemos un paquete a su nombre pendiente de entrega desde hace diez días, con número de paquete […]. El paquete se envió para reparto en la dirección que figura abajo pero no había nadie para recogerlo. Su paquete contiene un conjunto de documentos de ingeniería que fue descubierto al realizar un examen de seguridad en nuestra oficina central. Le enviamos una copia escaneada del contenido del paquete. Confírmenos si le pertenece a usted.
El contenido del mensaje y la vaguedad de los detalles son suficientes para, al menos, desconfiar. Sin embargo, si el destinatario trabaja como ingeniero y está acostumbrado a recibir paquetes de este tipo, puede que no repare en lo sospechoso que resulta este mail. 

Si la estafa cuela y nos creemos que realmente tenemos un paquete esperando para ser entregado, el siguiente paso es obvio: hacer clic en el link. A partir de ese momento, estamos expuestos. 
  1. Obviamente el link no nos llevará a la página de la compañía de correo, sino que intentará redirigirnos a un dominio controlado por los atacantes. En este punto pueden suceder varias cosas: Que estemos usando un dispositivo móvil, en cuyo caso el servidor mostrará un mensaje de error. 
  2. Que estemos utilizando un navegador de escritorio que no sea Safari, en cuyo caso se descargará un archivo .zip que contiene un programa de Windows al que Sophos cataloga como Mal/VBCheMan-C, un malware similar al troyano Zeus.
  3. Que estemos usando Safari. En este caso, lo que recibimos es un malware en la forma de un paquete de aplicación comprimido dentro de un archivo ZIP. 
Por defecto, en OS X 10.9.1 Mavericks, el navegador descarga el archivo automáticamente, mostrando una página en blanco y el icono del archivo descargado en el Dock. Aparentemente, lo que nos hemos descargado es un archivo PDF.

Figura 2: El fichero simula ser un documento PDF

Lo que ha sucedido es que Apple Safari ha descomprimido automáticamente el archivo descargado, generando un paquete de aplicación y dándole aspecto de PDF. Sería sencillo comprobar que no lo es a través de la terminal, pero si somos lo suficientemente inocentes para hacer clic en el PDF, OS X trata de avisarnos de que no estamos abriendo un documento, tal y como creemos. 

Figura 3: El archivo sigue pareciendo un PDF perfecto porque está oculta la extensión

El problema es que el mensaje de advertencia no es lo suficientemente explícito, como podemos ver en la imagen, y es más que probable que muchos usuarios acaben dando a Open con la esperanza de abrir el documento PDF.

Figura 4: Advertencia de que es una app y no un documento

Además, no nos muestra el típico mensaje de que vamos a ejecutar un programa de un desarrollador desconocido, puesto que el malware viene firmado digitalmente, algo que resulta ser demasiado habitual en los últimos tiempos.

Si a pesar de la poco efectiva advertencia insistimos en abrir el archivo, no pasa nada. Al menos, nada que podamos ver. Lo que realmente sucede es que se ha lanzado un proceso llamado foung que corre en segundo plano. Foung no es más que un simple bot, o para ser más precisos, un RAT (Remote Access Tool) al que Sophos cataloga como OSX/LaoShu-A.

Figura 5: El malware corriendo en segundo plano

En este momento los atacantes pueden tomar el control de nuestro ordenador y de esta manera, por ejemplo, crear una botnet para otros fines. Sin embargo, el uso que se le da a este malware está íntimamente relacionado con el robo de información al usuario particular. La funcionalidad de LaoShu permite buscar documentos en la máquina del usuario (archivos con extensión .DOC, .PDF, etcétera), empaquetarlos en ZIP y subirlos a un servidor propiedad de los atacantes, así como descargar archivos y ejecutar comandos de shell.

Como siempre, ante este tipo de amenazas, la prevención es la mejor defensa, y desconfiar de los e-mails recibidos, sobre todo si no estamos esperando ningún paquete, nunca está de más. Por otro lado, aunque vayas a una tiene Apple Store y un Genius te diga que no es necesario tener un antimalware en tu Mac OS X, nosotros te recomendamos que lo tengas.

1 comentario:

Entrada destacada

Vente al "Security Innovation Day 2016: Let Security Be"

El Security Innovation Day es el evento desde el que Telefónica y ElevenPaths comparten los últimos lanzamientos y novedades en innovació...

Otras historias relacionadas

Entradas populares