Menú principal

martes, 17 de febrero de 2015

Opinion Spy: Otra vez camina por los sistemas OS X

Casi 5 años después de que apareciera por primera vez este software espía, OpinionSpy vuelve a infectar ordenadores Mac. La gente de Intego lo ha anunciado la semana pasada. La vía de infección suele ser la instalación de aplicaciones y protectores de pantalla de aspecto inocente, descargados por ejemplo de sitios como MacUpdate o VersionTracker. Una vez comprometido el equipo, se podrían producir pérdidas de datos y abrir una backdoor para un nuevo abuso sobre el sistema. La nueva variante de OpinionSpy fue descubierta en un instalador de una aplicación que provenía desde el sitio Download.com de CNET.

Los investigadores de Intego han confirmado que los usuarios de Mac pueden ser infectados a través de una aplicación denominada Free Video Cutter Joiner, con la que podrían estar recibiendo más de lo que se esperan.  Mirando un poco más en profundidad, los expertos de Intego descubrieron que todas las descargas desde la propia web del desarrollador, el cual tiene dos enlaces oficiales de descarga. El código de OpinionSpy está siendo insertado, lo más probable, en el instalador. Durante la instalación el usuario necesitará instalar una aplicación llamada PremierOpinion, la cual se detectará como OS X / OpinionSpy por antivirus como el de Intego.

Figura 1: Instalación de aplicación con OpinionSpy

A diferencia de versiones anteriores de OpinionSpy, esta encarnación pide explícitamente a los usuarios el consentimiento para la instalación del código, aunque por supuesto el riesgo de que un usuario acepte y de consentimiento existe, lo cual acabaría en infección. OpinionSpy permite recopilar datos de mercado, monitorizar comportamiento de compras de los usuarios, etcétera. En líneas generales recopilar hábitos de navegación y poder ser explotados en un ámbito comercial.

Tras la instalación de OpinionSpy, la aplicación se ha instalado en /Aplicaciones/PremierOpinion y el usuario dispondrá de nuevas extensiones en Google Chrome y Mozilla Firefox. A partir de este momento, el equipo estará en constante contacto con los servidores de PremierOpinion, usando el mismo dominio que las variantes anteriores de OpinionSpy securestudies.com.

Figura 2: Premier Opinion
L
a detección de OpinionSpy no es difícil, por lo que podríamos rápidamente detectarlo y eliminarlo. La existencia del icono de PremierOpinion en la barra de herramientas debería hacernos sospechar, y casi es una evidencia de infección.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares