Menú principal

lunes, 27 de noviembre de 2017

Un Rogue AV que suplantaba a Symantec e infectaba a los equipos Mac

Por el mes de marzo hablamos en Seguridad Apple sobre Proton, un malware que tenía un precio en la dark web en bitcoins de unos 40 BTC en dicho momento. Este malware ha aparecido el pasado mes infectando a diferentes usuarios de Mac, los cuales habían descargado Elmedia Player. El 20 de noviembre, investigadores de Malwarebytes Lab descubrieron que los atacantes utilizaban un falso sitio web de Symantec para propagar el malware Proton a usuarios de macOS. En el sitio, los delincuentes publicaban un "análisis" sobre la existencia de una amenaza llamada CoinThief

Este falso análisis continuaba explicando cómo se descubrió CoinThief en 2014 y cómo los usuarios podían protegerse de dicha amenaza instalando "Symantec Malware Detector", un programa que realmente no existe. En realidad, el archivo de descarga es el malware Proton, creado para el robo de datos. Según uno de los investigadores, el sitio web es una buena imitación del blog real de Symantec, incluso duplican el mismo contenido. Además, los atacantes crearon también perfiles de Twitter falsos para difundir el sitio web fraudulento en redes sociales. Por último, y quizá más potente de esta suplantación es que el sitio utilizaba un certificado SSL emitido por la empresa de seguridad Comodo y no por Symantec

Figura 1: Symantec Malware Detector

Los usuarios que instalaron el archivo en sus Mac pueden estar bajo amenaza ya que el malware Proton puede tener privilegios de acceso como root y permitir que un atacante obtenga el control completo de un dispositivo específico. También ejecuta comandos de consola en tiempo real y administrador de archivos, registro de teclas, conectvidiad SSH y VNC, capturas de pantalla, etcétera. Apple ya es consciente del problema, ha revocado el certificado utilizado para firmar el malware. Esto evitará que Symantec Malware Detector infecte aún más a los usuarios.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares