Mientras MacDefender continúa martilleando a los usuarios de Mac OS X, Apple ha decidido hacer cambios más profundos en el sistema XProtect, herramienta con que intenta luchar contra el malware desde Mac OS X Snow Leopard, actualizando, no solo la base de datos de firmas de malware, sino también la política de actualizaciones de esta.
Antecedentes de MacDefender
MacDefender, un falso antimalware que se empezó a distribuir mediante el buscador de imágenes de Google, ha estado utilizando técnicas de Black SEO para llegar a los computadores de las víctimas. Cuando fue descubierto y empezó a ser detectado por las soluciones antimalware profesionales, comenzaron las mutaciones, apareciendo MacProtector y MacSecurity, obligando a las casas de seguridad a prestarle mucha atención. El éxito en el despliegue fue tal, que los servicios profesionales de AppleCare se vieron desbordados ante la epidemia. Apple optó por sacar un artículo en su Knowledge Base para que los usuarios estuvieran atentos y anunció que proveería de una actualización de seguridad para proteger a los usuarios frente a todas las mutaciones de MacDefender, pero los creadores del rogue AV respondieron con una nueva mutación, llamada MacGuard, que hace uso de una opción insegura que permite ejecutar los ficheros seguros después de su descarga sin necesitar ninguna contraseña por parte del usuario.
Los guerra MacDefender a día de hoy
Con esta situación, MacDefender, como reportan en NackedSecurity, ha elegido nuevas formas de desplegarse a través de Internet, en esta ocasión mediante la difusión por Facebook de un falso vídeo de la violación del ex-presidente del FMI. Cuando un usuario intenta ver es vídeo, el "supuesto" Apple Security Center avisa de que es malware e intenta instalar MacDefender.
Figura 1: MacDefender distribuido por Facebook |
Sumando todos los hilos de debate en Apple Discussions alrededor de problemas con MacDefender y sus mutaciones, se contabilizan hoy en día más de 200, lo que hace bosquejar el número de afectados por esta dura e intensa campaña de difusión de malware.
Security Update 2011-003
Apple ha respondido publicando el Security Update 2011-003, en el que se toman tres medidas fundamentales para mejorar la protección de los usuarios contra MacDefender y cualquiera de sus mutaciones, y hacer que sea más sencillo para Apple en el futuro luchar con este tipo de ataques.
En primer lugar Apple ha actualizado la base de datos de firmas de XProtect. Este software viene incluido desde la versión de Mac OS X Snow Leopard, y es un antimalware básico que detecta y elimina algunos troyanos conocidos, como HellRaiser u Opinion.Spy. De ahora en adelante, también llevará firmas para detectar MacDefender y todas sus variantes.
En segundo lugar Apple ha añadido una opción de actualización diaria de la lista de ficheros en cuarentena y las firmas de la base de datos de XProtect. Hasta ahora la actualización de las firmas se hacía solo con nuevas updates, lo que convertía el tiempo de reacción de esta herramienta en poco útil. Con el Security Update 2011-003 se pasa a comprobar, de forma diaria, la aparición de nuevas firmas. Esta opción, si se quisiera deshabilitar, algo que no recomendamos desde aquí, puede hacerse desde el Panel de Preferencias de Seguridad, donde se puede anular este chequeo.
Por último, para los equipos infectados con MacDefender, XProtect viene con un procedimiento de desinstalación y eliminación del mismo. Hay que recordar que eliminar MacDefender del equipo era bastante sencillo, y que la propia Apple publicó los pasos a seguir.
No hay comentarios:
Publicar un comentario