Invesitgadores de seguridad han descubierto el pasado viernes una nueva pieza de malware para Mac. Esta nueva pieza de malware denominada OSX / Dok afecta a todas las versiones de OS X, incluyendo la última versión macOS Sierra. Una vez instalado, OS X / Dok es capaz de interceptar todo el tráfico web, incluso el que es transmitido a través de HTTPS. El vector de infección de OS X / Dok se difunde a través de campañas de phishing. Según los investigadores de CheckPoint, OS X / Dok apunta principalmente a los usuarios europeos de Mac.
El correo electrónico de phishing contiene un archivo denominado Dokument.zip, el cual cuando es abierto, muestra un archivo llamado Dokument, el cual utiliza un antiguo icono de aplicación de vista previa que no se utiliza desde OS X 10.9. En comparación con el icono actual de la aplicación de vista previa utilizado hasta OS X 10.9, se puede ver la gran diferencia, simplemente con la calidad del icono.
Figura 1: Vector de infección |
¿Dónde se instala OS X / Dok.A? Cuando se abre el archivo Dokument, se muestra una advertencia falsa mientras la aplicación maliciosa AppStore.app se coloca en la carpeta /Users/Shared. Cuando se encuentra en la nueva ubicación, OS X / Dok se ejecuta y da a todos los usuarios en el sistema permiso para ejecutar el malware, eliminar la copia de la aplicación original y luego colocarse en los elementos de inicio de sesión para asegurarse de que tiene la oportunidad de instalar su carga o payload. OS X / Dok muestra un mensaje de pantalla completa, indicando que se ha identificado un probelma de seguridad y que se requieren actualizaciones. Esta ventana no se puede mover ni cerrar.
Esta falsa alerta de seguridad es una táctica para obtener la contraseña del administrador del sistema. La ventana se mantendrá durante unos 5 minutos, mientras que en el fondo se realizan varios cambios en el sistema. Estos cambios incluyen la instalación de TOR y SOCAT. Si OS X / Dok obtiene privilegios de administrador, otorga privilegios dónde sea necesario sin que el usuario vea una solicitud de contraseña de nuevo. Esto se hace con la modificación del archivo sudoers.
Cuando Dok termina, se cierra la ventana de pantalla completa y se eliminará el elemento de inicio de sesión. El elemento de inicio de sesión se reemplaza con varios LaunchAgents en /Users/User/Library/LaunchAgents. Otros cambios en el sistema que el malware realiza son cambios en la configuración de red para configurar un proxy y la instalación de un certificado raíz en System.Keychain, el cual permite a un atacante interceptar todo el tráfico de web enviado a través del proxy.
Figura 2: Configuración de proxy |
Como se puede ver, el malware tiene un gran potencial y es bastante dañino a la hora de obtener información privada de los usuarios. El atacante puede obtener información que viaja cifrada gracias a la instalación del certificado y puede controlar como administrador todo el sistema. Sin duda, uno de los malware para Mac más completos y potentes.
No hay comentarios:
Publicar un comentario