Estas son las nuevas funciones de seguridad de macOS Catalina

Hace unos días os hablamos de la llegada del nuevo sistema operativo de escritorio liberado por Apple y de algunas de sus novedades y características más interesantes. El día de hoy nos centraremos en el aspecto de la seguridad y os contaremos cuales son las técnicas que utilizará macOS Catalina para mantener nuestros equipos a salvo de las amenazas que hay dentro y fuera de la red. A continuación os contamos detalladamente en que consisten algunas de las nuevas funciones de seguridad incorporadas en macOS Catalina.


Mejor protección de datos: Catalina forzará a todas las aplicaciones a solicitar permisos cada vez que quieran realizar cambios o acceder a la información almacenada en tu equipo, incluyendo los archivos almacenados en iCloud y dispositivos externos.

Mejor límite de uso de la pantalla: Cuando utilizamos el ordenador durante mucho tiempo a lo largo del día está bien establecer límites de tiempo para no dañar nuestra vista y la de las personas que más queremos, con estas mejoras podrás establecer una contraseña para que bloquee el equipo al sobrepasar el límite de tiempo establecido o para evitar la visualización de contenido para adultos.

Figura 1: Aplicación Find My Smarts.

Nueva aplicación Find My Smarts: Esta función actúa de manera similar a la aplicación Find My iPhone, solo que ha sido mejorada haciendo que se pueda triangular la posición de tu equipo a través de la señal Bluetooth de otros productos Apple de terceros.

Mejor seguridad en Home Video: Como HomeKit se ha convertido un referente en la creación de un hogar inteligente se han introducido también nuevas guidelines para cualquier cámara domestica que interactúe con su aplicación para macOS.

Alerta de contraseñas débiles: Apple lleva años recomendando el uso de contraseñas más robustas en sus servicios, ahora con la llegada de Catalina tu propio navegador (Safari) te alertará de cuando tu contraseña sea débil y te sugerirá el uso de una más robusta.

Figura 2: MacOS te ayudará a establecer contraseñas mas seguras.

Mejora en la tecnología de Gatekeeper: Las nuevas mejoras en el Gatekeeper de macOS hacen que sea más difícil para los malware infectar los equipos, además todos los programas deberán solicitar permisos para saber que estás tecleando o viendo en la pantalla.

Activation Lock: Con esta funcionalidad podrás brickear tu equipo remotamente en caso de que lo hayas perdido o te lo hayan robado (esta función está disponible para equipos con el chip T2).

Bloquear usuarios en el e-mail: La nueva versión de macOS te permitirá seleccionar aquellos contactos de los que no quieras recibir e-mails haciendo que todos aquellos que te manden vayan directos a la papelera.  

Fue Noticia en Seguridad Apple: del del 5 al 18 de agosto

Ya pasada la mitad del mes de agosto, de nuevo toca adentrarnos en la sección ‘Fue Noticia’, resumiendo las noticias que se han ido publicando durante los últimos 15 días, donde la actividad se ha visto algo mermada por las fechas en las que nos encontramos, se notan las vacaciones y el bajón de movimiento en este mes, pero aún así seguimos trabajando en actualizar lo más relevante en el mundo de la seguridad informática y que afecta a la compañía con sede en California.

Las primeras noticias que os dejamos en el blog traían un listado de Malware o fallos relacionados con la seguridad y que afectan a Mac, dividido en 2 partes, donde podemos comprobar que el listado no es pequeño:

El miércoles 7 de agosto se puso la primera parte , donde se pudo hablar entre otros de OSX/Linker o OSX/Shlayer. Para terminar el listado el viernes 9 de agosto se publico la segunda parte, hablando del troyano OSX/Dok, del virus de Office y de otros muchos.

Entre medias del listado comentado en el párrafo anterior, el jueves 8 de agosto se hablo de la posibilidad de que Apple dé iPhones ‘especiales’ a los investigadores de seguridad, para así facilitar su labor en la búsqueda de vulnerabilidades.

El sábado 10 de agosto se hablo sobre LaserWriter, la primera impresora de red de la historia, donde se puede descubrir su importancia.

El domingo 11 de agosto se comento que Apple permitirá acceder a iCloud a través de Face ID y Touch ID.

El lunes 12 de agosto se comenzó la semana hablando de una vulnerabilidad en la beta de iOS 13, que permite acceder a los usuarios y contraseñas almacenadas en la App de Ajustes.

Continuamos el martes 13 de agosto hablando sobre Malware, en concreto sobre CrescentCore, que es capaz de engañar a Gatekeeper y a los antivirus.

El miércoles 14 de agosto se publico la primera parte del artículo sobre 10 aplicaciones gratuitas para este verano, que se completo el viernes 16 de agosto con la segunda parte.

El jueves 15 de agosto pudimos ver cómo los ciberdelincuentes llegan a obtener las credenciales bancarias. 

El viernes estuvimos viendo 10 aplicaciones gratuitas para iOS para este verano en un artículo que era la segunda parte de éste, ya que se habló de ello el miércoles 14. 

Por último, el sábado comenzamos una nueva serie sobre anécdotas y curiosidades de la historia de Apple.

Pues hasta aquí llega el Fue noticia de la primera quincena de agosto, vamos a por la última quincena de agosto, ánimo para los que regresan de vacaciones, y para los que aún les quedan a disfrutar. Hasta la próxima.

CrescentCore, el nuevo malware capaz de engañar al Gatekeeper de Apple y a los antivirus

Hace un par de semanas se descubrió un nuevo malware dirigido a los equipos Mac. El malware en cuestión se dio a conocer a través del blog de Intego y recibió el nombre de OSX/CrescentCore, desde su descubrimiento se ha podido detectar en varias páginas web, incluyendo en algunas páginas de descarga de contenido. Su eficacia en cuestión se debe a su apariencia inocua, se muestra como una actualización o instalación de Adobe Flash Player y es imperceptible por los antivirus y las protecciones de Apple. Además es muy complicado detectarlo en el caso de que se esté ejecutando una máquina virtual.

El método de infección utilizado por este malware es uno de los más comunes a lo largo de la historia, por el momento para evitar que tu equipo sea infectado lo único que puedes hacer es evitar visitar páginas de visualización de contenido poco fiables. También es muy recomendable mantener nuestro antivirus, sistemas operativos y navegadores actualizados para solucionar el problema en cuanto se lance un parche para esta vulnerabilidad. OSX/CrescentCore es solo uno de los malwares a los que se ha tenido que enfrentar Mac durante el último mes, también se han descubierto otros dos malwares conociods como OSX/Linker y OSX/New Tab. Como en la mayoría de los casos en los que un malware logra evadir el Gatekeeper de Mac CrescentCore está firmado con certificados de desarrollador de confianza.

Figura 1: CrescentCore  simulando ser una actualización de Flash Player.

Según la firma Intego el malware escanea los equipos infectados en búsqueda de algunos de los antivirus más conocidos y en caso de detectarlos dejan de ejecutarse. También se apagará si piensa que se está ejecutando en una máquina virtual en lugar de en un Mac real. Pero si no se cumple ninguna de estas condiciones no hay nada que frene a CrescentCore, en este caso el malware instalará LaunchAgent (que es una infección persistente) y una extensión de Safari que recibe el nombre de Advanced Mac Cleaner. Desde Intego también han querido resaltar que nadie debería instalar Flash Player en 2019 incluso aunque se tratase del software legítimo ya que Adobe dejará de trabajar en Flash Player y cortará su distribución a finales del año que viene. Desde el año 2016 los plugins de Flash Player están deshabilitados en macOS por cuestiones de seguridad por lo tanto no es recomendable instalarlos en ninguno de los casos.

Detectan un nuevo malware para Mac (que aprovecha la vulnerabilidad de Gatekeeper) cuando los creadores subieron muestras a VirusTotal

Hace unos días ya contamos que había aparecido una vulnerabilidad que permitía realizar un bypass de la comprobación que realiza Gatekeeper para ver si un código está verificado o no, permitiendo así su ejecución. Pues como esta vulnerabilidad no ha sido aún solucionada por Apple, era cuestión de tiempo que apareciera un malware que explotara dicho bypass. Lo curioso es que los mismos creadores se han delatado al subir muestras a VirusTotal para comprobar si este detectaba algo anómalo.

El 6 de junio, la empresa Intego detectó que se habían subido a VirusTotal varios ficheros tipo imagen (.dmg) con formato ISO 9660 y Apple Disk Image, las cuales contenían evidencias de un intento de explotar la vulnerabilidad de Gatekeeper en este formato de imágenes de disco. Esta maniobra de utilizar imágenes posiblemente fuera un intento de evitar la detección de este código malicioso por parte de programa antivirus. El nombre con el que se ha bautizado a este nuevo malware es OSX/Linker.

Figura 1. Información ofrecida por VirusTotal sobre la subida de las muestras. Fuente.

Analizando las muestras subidas a VirusTotal, los investigadores han detectado que las imágenes fueron creadas pocas horas antes de dicha subida y que además estaban vinculadas con un servidor NFS conectado a Internet. Todas las muestras se subieron de forma anónima, la primera de ellas por alguien que aparentemente estaba ubicado en Israel o al menos, la IP correspondía a dicho país (aunque es muy posible que estuviera enmascarada). Las otras tres aparentemente fueron se subieron desde Estados Unidos.

El servidor NFS detectado, su dirección IP pertenece a Softlayer, parte del Cloud de IBM. Parece ser que la aplicación estuvo ubicada durante un tiempo antes de ser eliminada. Dado que dicho servidor no estaba disponible, la aplicación tampoco lo estaba por lo tanto ¿cómo se supo que el software era malicioso?. Las pistas que llevaron a la conclusión que se trata de un malware fueron en primer lugar que las imágenes estaban camufladas como instaladores de Adobe Flash Player (una de las formas más comunes que se usan para engañar al usuario). En este vídeo se puede observar una PoC de este exploit:

Por otro lado, la cuarta imagen estaba firmada con un ID de desarrollador de Apple llamado "Mastyra Fenny" (2PVD64XRF3), el cual ya se ha utilizado antes para firmar otros archivos falsos que se hacían pasar por los antes comentados Adoble Flash Player y que están asociados a la familia de adware OSX/Surfbuyer. Intego ya ha informado a Apple para que revoque el certificado de este ID.

Mientras esperamos que se resuelva este problema de seguridad, no vendría mal comprobar si en nuestra red ha habido algún equipo que se haya conectado a la IP 108.168.175.167 utilizando los puertos NFS (TCP/UDP 111, 875 o TCP 2049) entre las fechas del 24 de mayo y el 18 de junio. Seguiremos informando de este primer intento de crear un malware utilizando la vulnerabilidad de Gatekeeper.

Fue Noticia en seguridad Apple: del 28 de mayo al 9 de junio

Damos comienzo al mes de junio y con la llegada del calor en Seguridad Apple seguimos trabajando para traeros algunas de las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el martes 28 avisándoos de la llegada de iOS 12.3.1 y macOS 10.14.5, actualizaciones que llegan apenas unos días antes de la WWDC.

El miércoles 29 os enseñamos como son las instalaciones “top secret” de Apple donde ponen a prueba los componentes de sus dispositivos.

El jueves 30 os avisamos de que Apple ha dejado de firmar iOS 12.2, lo que significa que ya no será posible hacer un downgrade a esta versión de iOS.

 El viernes 31 os informamos del descubrimiento de un nuevo Bypass al Gatekeeper de Apple, para el que todavía no se ha encontrado una solución.

El sábado 1 indagamos en la historia de Apple para hablaros algunas de las curiosas características del Apple I y de cómo uno de ellos ha logrado venderse por 471.000 dólares el pasado mes.

El domingo 2 os contamos como podéis comprobar el estado de la garantía de vuestros dispositivos iOS sin tener que acceder a la página web de Apple.

El miércoles 5 os enseñamos cómo podéis saltaros fácilmente la protección de seguridad de macOS Mojave utilizando los clicks “sintéticos” o automáticos.

El jueves 6 os informamos de que el hacker Linus Henze, creador de KeySteal revelará detalles acerca del funcionamiento de su herramienta en la Sea Mac Security Conference.

El viernes 7 os explicamos las razones por las que Apple y WhatsApp han condenado la propuesta realizada por la GCHQ de realizar escuchas en chats cifrados.

Finalmente, ayer sábado hablamos de tres proyectos para construir tu Apple-1. Una de las cosas a tener en cuenta del artículo es que Wozniak lo hizo en 1976 y sin Internet. ¿Te atreves a montar tu propio Apple-1?

Nos vemos en un par de semanas con el mejor resumen de la actualidad del mundo de la manzana mordida. Que paséis buena semana.

Descubren un nuevo Bypass para Gatekeeper

No es la primera vez que se habla de Gatekeeper, la característica de seguridad que ofrece Apple en su lucha contra el malware. Gatekeeper ayuda a verificar si un código está firmado como es debido antes de poder ejecutar una aplicación, si no es así, previene al usuario de su ejecución. En esta ocasión el experto en seguridad, Filippo Cavallarin, ha descubierto una nueva forma de saltarse esta protección de manera muy sencilla y que actualmente no tiene solución.

¿Cómo se puede saltar esta medida de seguridad? 

Se ha descubierto que Gatekeeper considera los discos externos, como la red local, como lugares seguros, permitiendo por defecto la ejecución de las aplicaciones sin verificar firma alguna, dejando al usuario vulnerable ante una aplicación maliciosa.

Figura 1: Gatekeeper Bypass

Filippo asegura haber informado del fallo a Apple el 22 febrero de 2019, y la compañía supuestamente lo iba a solucionar el 15 de mayo, pero aún no han sacado una solución. Al pasar los 90 días el investigador ha hecho público el fallo.

El ejemplo de ataque que nos proponen es el que sigue:

1. Crear un fichero zip con enlace simbólico a un disco virtual con automontaje. 
2. Crear una aplicación con el código que desea ejecutar. 
3. Crear un recurso compartido NFS accesible públicamente y poner la app en él. 
4. Cargar el zip en Internet Cargar el zip en algún lugar de Internet y descargarlo para que obtenga la ‘flag’ de cuarentena utilizada por Gatekeeper.
5. Extraer el zip y explorarlo.

Esperemos que Apple corrija pronto este problema, mientras tanto a tener cuidado y deshabilitar el automontaje.

Apple actualiza XProtect para combatir los exploits de Windows en máquinas Mac

Apple ha mejorado su software de seguridad XProtect con la idea de que sea capaz de detectar archivos Windows que puedan suponer un peligro para los usuarios de Mac. Según el investigador en ciberseguridad Patrick Wardle, la actualización ahora es capaz de detectar ejecutables del tipo Windows Portable Executable (PE) y archivos y segmentos binarios. Xprotect es un sistema basado en firmas vinculado a los dispositivos iOS y su Gatekeeper. Para proteger y alertar a los usuarios cuando se detecta un archivo malicioso Gatekeeper lo pone en un proceso de “cuarentena” en el que se analiza la firma del mismo y si está en los registros de Xprotect.

XProtect está basado en una herramienta open source desarrollada por Google llamada Yara, esta otra herramienta fue diseñada para la comprobación de malwares basados en reglas establecidas por cadenas y expresiones booleanas. Según Wardle en esta actualización de seguridad se ha añadido la definición de un malware en forma de archivo .EXE (TrojanSpy.MacOS.Winplyer) diseñado para atacar a equipos Mac . A pesar de que los archivos .EXE se asocien comúnmente a Windows el pasado mes de febrero los investigadores de Trend Micro descubrieron una interesante campaña que trataba de armar archivos de este tipo firmándolos con una app llamada Little Snitch.

Figura 1: Archivos .EXE se pueden ejecutar en Mac

Esta campaña de malware tiene como objetivo aprovecharse de esta plataforma de compatibilidad entre Windows y Mac para la sustracción de información y la infección de varios equipos con adwares. Aunque TrojanSpy.MacOS.Winplyer haya sido diseñado para evadir el Gatekeeper de Apple todavía no hay ninguna evidencia de que lo haya logrado, además con XProtect actualizado también se ha cerrado otra posible ruta por la que el malware podría llegar a los equipos. Independientemente de cual sea tu sistema operativo desde Seguridad Apple aprovechamos para recordaros la importancia de revisar los ejecutables que nos descarguemos para asegurarnos de que estos no comprometerán nuestros equipos.

Un test de seguridad para Dropbox revela tres vulnerabilidades de Zero-Day

En el mundo digital es habitual que una empresa contrate a otra con el fin de realizar pruebas de seguridad en sus servicios. El año pasado Dropbox contrató a una firma de seguridad para llevar a cabo una simulación de ciberataque en sus servicios sabiendo que era posible encontrar algunas vulnerabilidades de Zero-Day en los productos de Apple que podrían afectar más de una compañía. En un artículo publicado por Dropbox en un blog se explica cómo realizan simulaciones de ataques rutinarias para comprobar la efectividad de sus políticas y sistemas de seguridad. Con estos tests  Dropbox pretendía evaluar la capacidad de sus sistemas para detectar y realizar el seguimiento de una vulnerabilidad inesperada.

Para sorpresa de Dropbox la empresa de seguridad Syndis descubrió varias vulnerabilidades Zero-Day en el software de Apple. Cuando estas vulnerabilidades se explotan simultáneamente pueden permitir la ejecución de código arbitrario de forma remota en un macOS infectado a través de una página maliciosa. Estas vulnerabilidades fueron descubiertas por Syndis y Dropbox el 19 de febrero del pasado año y solucionadas en menos de un mes, con el lanzamiento del Securitty Update de Apple a finales de marzo del mismo año. Las vulnerabilidades que permiten la ejecución de código arbitrario se consideran críticas ya que permiten a los atacantes ejecutar los comandos que deseen remotamente en el equipo infectado.

“Hemos invertido un montón en el enrobustecimiento, la detección, la alerta y capacidad de respuesta en Dropbox. Incluso si un atacante logra acceder a varios sistemas sin hacer saltar ninguna alarma, disponemos de herramientas capaces de realizar un seguimiento de su trabajo de post explotación. Nuestras metas de testeo con este tipo de simulaciones es descubrir nuevos métodos de comprometer la seguridad de Dropbox. En el caso de no encontrar ninguna brecha durante nuestro análisis introducimos malware para simular sus efectos” Dijo Chris Evans, director de seguridad de Dropbox.

Figura 1: CVE-2018-4176

Cuando Syndis realizó su test descubrió que tres vulnerabilidades anteriormente desconocidas se podían combinar de tal manera que permitiesen la ejecución de código arbitrario en un equipo macOS vulnerable. La primera vulnerabilidad descubierta se encontraba en el CoreTypes.bundle, un listado de elementos que pueden abrirse desde Safari. En este caso la extensión .smi (self-mounting images) estaba asignada de manera incorrecta a CoreTypes y podía ser abierta por Safari. La segunda vulnerabilidad se relaciona con el funcionamiento de las Disk Images en macOS. La última consiste en un bypass al Gatekeeper de Mac a través de la modificación de una app legítima con la que era posible registrar nuevas extensiones asociadas al archivo. Sin duda una combinación peligrosa y que permitió a Syndis realizar una prueba de concepto en la que se activaba remotamente la calculadora de un equipo infectado.

Apple anima a los desarrolladores a firmar su software para evitar problemas con el Gatekeeper

Apple está animando a los desarrolladores de Mac que distribuyen sus aplicaciones por medios distintos a la App Store a que firmen o comprueben sus aplicaciones con las herramientas de Apple antes de distribuirlas. Este nuevo proceso cierra un hueco en las protecciones del Gatekeeper de macOS, ya que anteriormente comprobaba que las aplicaciones que no proviniesen de la App Store de Mac estuvieran firmadas con un certificado de desarrollador de Apple, pero esta comprobación no era muy exhaustiva. Apple asegura que la opción más segura para los usuarios es solo instalar aplicaciones publicadas en la App Store de Mac.

El Gatekeper de Mac se basa en los certificados de desarrollador emitidos por Apple para minimizar el riesgo de obtener aplicaciones maliciosas descargadas de internet. Las apps que están firmadas por Apple aseguran que la identidad del desarrollador es conocida y que ha pasado una serie de pruebas de seguridad antes de ser distribuidas por internet. Esto debería ayudar a reducir la posibilidad de que las aplicaciones desarrolladas legítimamente sean manipuladas y posteriormente redistribuidas como ya ha sucedido en varias ocasiones durante los últimos años. Desde hace tiempo los atacantes se han aprovechado de los ID de desarrollador de Apple para desarrollar versiones trampa de softwares legítimos para MacOS con el fin de infectar a los usuarios con malware.

Figura 1: Gatekeeper realiza una alerta de seguridad

Estas aplicaciones maliciosas no eran bloqueadas por el Gatekeeper hasta que Apple revocaba su certificado dándoles tiempo para infectar miles de equipos. Con la llegada de Mojave, la primera vez que un usuario lanza una app obtenida fuera de la App Store (firmada por un ID de desarrollador conocido), el Gatekeeper hace saltar un mensaje en el que se avisa de que la aplicación ha sido obtenida de internet y preguntará si estás seguro de ejecutarla. Ademas incluirá la fecha en la que fue descargada y si se descubrió algún software malicioso en el archivo. Si la app no ha sido firmada el dialogo emergente mostrara un triángulo amarillo con un símbolo de exclamación advirtiéndote de que el software no ha sido firmado por Apple y que no es seguro instalarlo.

Apple insta a los desarrolladores a elaborar aplicaciones para macOS libres de malware

Desde hace tiempo la App Store de Mac dispone de gran cantidad de aplicaciones las cuales podemos descargar con un simple “click”, a pesar de ello muchos desarrolladores optan por no compartir su trabajo a través de la App Store y hacerlo por su cuenta lo que pone en peligro la seguridad de los equipos de sus clientes. Existe un nuevo método que permite a los usuarios saber si el software que están instalando dispone de malware, se llama notariced apps y Apple está instando a los desarrolladores a utilizarlo. Actualmente notariced apps es un software opcional para los desarrolladores, pero es muy posible que en un futuro su uso se vuelva obligatorio para garantizar la seguridad de las aplicaciones para macOS.

Los desarrolladores no están obligados a distribuir sus softwares a través de la App Store de Mac, como consecuencia de esto, la tienda de apps de Mac no ha ganado mucha popularidad en los últimos años ya que la mayoría de desarrolladores optan o prefieren vender y distribuir sus productos de manera independiente, algo que deja a los usuarios de Mac potencialmente vulnerables frente al malware. Al adquirir un software de desarrolladores independientes dispones de dos alternativas, una es analizarlo utilizando otra herramienta para asegurarte de que no contenga malware y la otra es esperar que su origen sea legítimo y que no vaya a causar daños en tu equipo.

Figura 1: Firmar apps para Gatekeeper.

Para mejorar la seguridad en sus dispositivos Apple comprobará si las aplicaciones disponen de código seguro o si puede ser dañino, cualquiera que instale una app revisada por Apple tiene la garantía de que no contiene ningún malware conocido. Esta propuesta se dio a conocer en la World Wide Developers Conference, evento que tuvo lugar en junio y en el que Apple prometió que este no es más que el primer paso para establecer una serie de requisitos que deberán cumplir el software y las aplicaciones de terceros para Mac. Independientemente de esta nueva medida, los desarrolladores ya han sido advertidos de que en una futura actualización del Gatekeeper de Mac requerirá que el software de los desarrolladores esté firmado para estar escriturado por Apple.

Guía de seguridad en macOS (Parte 3)

Llegamos al final de nuestra serie de artículos sobre la seguridad en macOS con una entrada sobre las conexiones de red, el control de dispositivos hardware y la política de privacidad que impera en Apple. Con esto hemos tratado todas las aristas que componen la seguridad y fortificación del sistema operativo de Mac.

Guía de Seguridad en macOS (Parte 2)

En este segundo post continuamos detallando todos los elementos referentes a la seguridad de nuestro Mac. En el artículo anterior hablamos sobre la seguridad del núcleo del sistema, el almacenamiento de claves y credenciales y la autenticación mediante contraseñas o certificados digitales, en esta ocasión nos centraremos en cifrado y los mecanismos que se aplican para fortificar las aplicaciones de terceros instaladas en macOS.

Guía de seguridad en macOS (Parte 1)

Después de haber nombrado términos generales de ciberseguridad en la Guía de Seguridad para tu Secure Summer, vamos ahora a mostraros en los siguientes posts una guía general sobre toda la seguridad que concierne a macOS.

En esta guía profundizaremos en todas las areas implicadas en la securización del sistema operativo de nuestros Macs, desde la seguridad del sistema y redes, cifrado, autenticación y limitaciones de aplicaciones externas.

Estos artículos están divididos según las diversas areas antes mencionadas, dando una breve explicación sobre los elementos que conciernen a cada apartado.

OSX.Dummy: El peligro viene por Slack y Discord en macOS

El malware denominado OSX.Dummy utiliza un método de infección poco sofisticado, pero los usuarios que son atacados con éxito abren sus sistemas hasta la ejecución de código remota. Este malware tiene como objetivo ususarios que utilizan criptomonedas y que, además, utilizan plataformas como Slack y Discord. El investigador y experto en ciberseguridad Patrick Wardle comentó que el malware tiene privilegios de root, por lo que cuando éste conecta con el C2, se tiene un entorno privilegiado.

También comentó Wardle que se han visto varios ataques de malware en macOS que se originan en grupos de chats de Slack o Discord. Los atacantes seducen a los usuarios para que ejecuten un script que a su vez descarga el malware de 34 MB OSX.Dummy a través de cURL. La descarga se guarda en el directorio de macOS /tmp/script y luego se ejecuta. El archivo es un gran binario de 34 MB, el cual tiene 0 de 60 en VirusTotal. El script solía engañar a las víctimas para descargar el OSX.Dummy. El binario no está firmado, indica Wardle, agregando que el malware puede eludir Gatekeeper. Es curioso que este binario sería bloqueado por Gatekeeper, pero al ser un binario descargado y ejecutado desde la terminal de comandos, Gatekeeper no entra en juego, por lo que se permite ejecutar el software sin firmar. 

Figura 1: Snippet para ejecutar el script

A medida que se ejecuta el código binario, se hace uso de sudo, por lo que se necesita que el usuario introduzca sus credenciales en el terminal. A partir de ahí, el malware arroja código en varios directorios macOS, incluido /Library/LaunchDaemons/com.startup.plist, lo cual le proporciona a OSX.Dummy la persistencia. El script bash intenta conectarse a una dirección IP, la cual es 185.243.115.230 al puerto 1337. Wardle señala que si el ataque tiene éxito y el malware puede conectarse al C2, el atacante puede tomar el control del sistema objetivo.

macOS Mojave dificultará la instalación de malware en los dispositivos (o eso se espera)

Hace un par de lunes Apple anunció la nueva iteración de su sistema operativo de escritorio, macOS 10.14 Mojave, con una cantidad de mejoras dirigidas a la seguridad, estabilidad y funcionalidades de todos los dispositivos que reciban la actualización este otoño. Además de presentar un rediseño integro de su tienda de aplicaciones, un nuevo modo oscuro y novedades en finder, Apple mostró en el evento posterior a la Keynote principal nuevas medidas de seguridad que dificultarán aún más la instalación de malware en nuestros dispositivos.

Como ya se ha comentado en este blog, Gatekeeper fue presentado en OS X Moutain Lion para prevenir malware y apps dañadas descargadas desde internet. Desde su presentación han aparecido varios métodos para saltar sus comprobaciones, pero cada año Apple trae interesantes novedades para aumentar la seguridad de la herramienta. En esta edición no se han quedado atrás y han mostrado tres nuevas características que incorporará el nuevo sistema operativo macOS Mojave:

• Consentimiento de Usuario: Como ya venían haciendo discretamente en aplicaciones instaladas desde la Mac App Store, todas las aplicaciones que requieran el uso de algún recurso crítico del sistema deberán pedir el consentimiento previo del usuario. Algunos de estas autorizaciones se mostrarán para el uso de localización, fotos, contactos, mensajes, bases de datos de mail, etcétera.
• Protecciones en tiempo de ejecución: A partir de ahora añadirán SIP a las aplicaciones firmadas con el Apple ID, además aumentan las medidas de validación de código y protección ante inyección de código.
• Validación de aplicaciones: “Notarized apps” es una evolución a la firma de aplicaciones externas a través del Apple ID que ya existía y trae como objetivos detectar el malware rápidamente antes de ser distribuido a los usuarios y proveer de un método optimizado para revocar aplicaciones. 

Figura 1: WWDC y las mejoras en seguridad

Implementar la validación es importante ya que este método será obligatorio en un futuro para todas las aplicaciones firmadas con Apple ID. Para ello, es necesario seguir estos pasos: 

• Una vez desarrollada la aplicación, será necesario firmarla con el certificado de desarrollador de Apple ID.
• Antes de distribuirla, habrá que validar la aplicación a través del “Apple Notary Service” de Apple para que quede registrada en sus servidores. 
• Una vez notificada, la aplicación puede ser distribuido por el canal elegido por el desarrollador. 
• Cuando el usuario ejecute la aplicación, macOS Mojave determinará la validez y origen de la app comprobando la firma de la aplicación con la registrada en el servicio de validación.

Este proceso descrito no está sujeto a cumplir las guías internas de la Mac AppStore, solo busca aplicar una capa extra de seguridad a aplicaciones externas independientemente de su funcionamiento por lo que cualquier aplicación podrá incorporar este servicio independientemente de su funcionamiento. Poco a poco Gatekeeper se está convirtiendo en una herramienta esencial y robusta dentro de macOS, reflejando la voluntad de Apple de aumentar la seguridad de sus plataformas cada año.

Vulnerabilidad crítica en macOS High Sierra: Cualquiera puede acceder a tu Keychain

El nuevo sistema operativo de Apple, el flamante macOS High Sierra, ya tiene una grave vulnerabilidad que permite a un atacante robar las contraseñas del keychain del sistema. El nuevo sistema trae algunas mejoras de seguridad, por ejemplo el SKEL, del cual hablamos en el blog, pero también ha traido un nuevo y grave fallo de seguridad que permite a cualquier aplicación robar las contraseñas del keychain sin el conocimiento o interacción del usuario. Las versiones anteriores al nuevo sistema operativo de Apple también son vulnerables, por lo que hay que actualizar, sin duda, a la nueva versión.

El investigador Patrick Wardle ha sido el que ha encontrado este grave fallo de seguridad. El experto en seguridad ha comunicado que no revelará el funcionamiento del fallo hasta que Apple lo corrija. Wardle indicó que las aplicaciones que se ejecutan en un sistema pueden acceder a toda la información del llavero sin ninguna interacción del usuario, haciendo un bypass de cualquier componente de seguridad. Apple indicó que Gatekeeper evita que se instalen aplicaciones sin firmar, y que el usuario no debe instalar aplicaciones que no tengan un origen de confianza o no se encuentren firmadas.

Figura 1: Mensaje de Patrick Wardle con la evidencia

Hasta que no exista una solución, se debe evitar la instalación de cualquier aplicación sin firmar y que venga de fuentes de no confianza, según ha comentada la propia Apple. Si tienes algún tipo de software instalado que cumpla con estas características, debes revisarlo y, en el peor de los casos, tener que cambiar las contraseñas almacenadas en el keychain, siempre que necesites eliminar la aplicación que no genera confianza.

Seguiremos atentos a la posible y necesaria actualización de macOS High Sierra a una nueva versión. Seguramente en poco tiempo veamos la actualización de macOS High Sierra y una nueva actualización de iOS solventando el problema de la batería. Sea como sea, seguiremos contándolo desde Seguridad Apple.

OSX/Dok: Un nuevo malware portado de Windows que roba credenciales bancarias

Un nuevo malware existe para los equipos Mac, el cual roba las credenciales bancarias de los usuarios. Se transmite a través de un ataque de phishing y es capaz de robar credenciales de cuentas bancarias. El malware llamado OSX/Dok y fue descubierto por investigadores de Check Point Security. El malware refleja los sitios web de algunos de los principales bancos del mundo para robar dinero a sus usuarios. La propagación se ha llevado a cabo a través de ataques de phishing, por lo que es fácil que muchos usuarios queden infectados en sus equipos. 

Los investigadores han comentado que el malware es difícil de detectar, ya que es capaz de evitar las medidas de seguridad de los equipos Apple y espiar las comunicaciones de la víctima. Check Point indicó que han visto un reciente aumento en el malware en los sistemas Mac. Esto es algo que hemos ido indicando semanas atrás. Los delincuentes están comprando decenas de certificados de Apple para firmar el paquete de aplicaciones y evitar, de este modo, a GateKeeper. Tan pronto como Apple revoca uno de los certificados, los delincuentes cambian a otro, con nuevos certificados que, prácticamente, se utilizan a diario.

Figura 1: Check Point. Una de las páginas falsas del banco

¿Cómo funciona todo esto? Las víctimas llegan a sitios web falsos que se hacen pasar por bancos importantes. Los sitios falsos le indican a la víctima que instalen una aplicación en sus dispositivos móviles, loq ue podría potenciar a nuevas infecciones y fugas de datos del dispositivo móvil. Una vez que el malware se ha instalado en el dispsoitivo, se descarga el navegador de Tor y comienza a comunicarse con los servidores C&C controlados por los delincuentes. Se registra la ubicación del dispositivo infectado y se personaliza la página bancaria falsa dependiendo de la ubicación de la víctima. 

El malware pide a las víctimas que inicie sesión en la página bancaria falsa con sus credenciales y también le pide su número de teléfono para configurar la autenticación por SMS. Desafortunadamente, OSX/Dok aún está suelto y sus propietarios continúan invirtiendo cada vez más en su ofuscación utilizando certificados legítimos de Apple. El malware ha sido portado desde Windows, lo cual indica, también, una nueva tendencia.

Cómo afecta el Ransomware a un Mac

Los malware de tipo Ransomware siguen aumentando en popularidad. Es una especie de fiebre del oro y que se encuentra en marcha en el mundo cibernético. Cientos de millones de dólares se han generado en los últimos dos años debido a este tipo de lacra virtual. Una pregunta que se hacen muchos usuarios de Mac es si ellos son vulnerables a este tipo de malware. La respuesta es sencilla, sí. Todos los ataques de Ransomware mediáticos han sido sobre sistemas Windows, pero esto no quiere decir que no se puedan lanzar contra sistemas macOS. Hay que tener en cuenta que el Ransomware se aprovecha más del usuario que del sistema operativo, por lo que hay pocas barreras técnicas para crear un ataque contra los Mac. 

El vector de ataque más común para los sistemas Mac hasta ahora ha sido a través de la infección y Bypass de Gatekeeper o XProtect. Este tipo de paquetes han intentado evitar la detección de software antivirus de Mac y Windows. No todo son malas noticias en el mundo Mac, ya que a diferencia de los entornos Windows donde el Ransomware ha ido de la mano de vulnerabilidades críticas que propiciaban la propagación en entornos corporativos, gubernamentales o de salud, en un entorno Mac, al menos de momento, la propagación es por descarga fraudulenta. Además, aunque Mac ha crecido en popularidad, solo representan el 7% de los equipos del mundo, por lo que todavía se benefician de este hecho, para no ser un gran foco. En el blog hemos visto algunos ejemplos como, por ejemplo, KeRanger o MacRansom.

Figura 1: Malware en macOS en 2016. Incremento notable

En términos de datos, podemos ver como el malware en sistemas Mac está en alrededor de 450.000, mientras que en entornos Windows hablamos de 23 millones de amenazas conocidas. Estos datos nos arrojan mucha claridad, pero lo que tenemos que tener claro es que un entorno Mac empieza a ser cotizado por los delincuentas, por lo que no tenemos que bajar la guardia. Hay que mantener el equipo actualizado y utilizar los entornos de distribución de software como, por ejemplo, la Mac AppStore para no caer en las manos del malware.

Cómo podemos proteger nuestro Mac contra el malware

Hoy en día Mac OS es más susceptible frente al malware que nunca y Apple podría no estar lo suficientemente preparado para afrontar esta situación, aunque Windows sigua manteniendo el mayor número de ataques maliciosos cada vez hay más malware en Mac. Los analistas atribuyen el incremento de vulnerabilidades de Mac OS a una serie de factores primarios además de carencias en la defensa del sistema. Uno de los mayores problemas lo supone que cualquier persona con una tarjeta de crédito y dinero en ella puede conseguir un certificado de desarrollador y estar capacitado para firmar software. Sospechoso o no, cualquier programa firmado puede pasar a través de Gatekeeper, la herramienta encargada de detectar software malicioso en Mac.

Actualmente muchos de los antivirus a pesar de estar actualizándose constantemente son incapaces de protegernos frente a los nuevos malwares y los ataques de ingeniería social que hay hoy en día. Si tienes un Mac y quieres saber cómo protegerlo de los malwares aquí tienes 3 consejos que te ayudaran a hacerlo.

1. Configurar los ajustes de seguridad: Mac OS viene con un montón de ajustes y preferencias del host que puedes modificar para obtener una mayor seguridad. Cuando compruebes tus ajustes, ten en mente que hay fundamentalmente dos sitios de los cuales puede venir el malware, de internet o de un contacto directo con tu Mac. Comienza echando un vistazo a la página de seguridad en “preferencias del sistema”, donde podrás controlar varios aspectos de seguridad, preferencias de la cuenta, permisos de aplicaciones, firewall y contraseñas. También encontraras FileVault, una herramienta que te permitirá encriptar todos tus archivos en tu disco de arranque. Otro ajuste de seguridad que deberías considerar es la creación de una cuenta de invitado y la creación de una contraseña de firmware, así podrás evitar que alguien acceda a tus archivos sensibles y si alguien accede a la cuenta de invitado se activará automáticamente Find My Mac.                                       



Figura 1: Ajustes de seguridad y privacidad de Mac.


2. Soluciones de software: No importa lo robusta que sea tu configuración de seguridad, algunos programas maliciosos podrán abrirse camino a través de ella, tu segunda línea de defensa debe ser un antivirus. A los usuarios de Apple no les gustará saberlo, pero el malware en Mac existe y durante los últimos años ha aumentado en grandes proporciones. Mejor estar seguro que arrepentido. A la hora de seleccionar un nuevo antivirus debemos fijarnos en sus cualidades, debemos buscar uno cuyo funcionamiento no afecte al rendimiento de nuestro equipo y que sea capaz de realizar análisis rápidos y exhaustivos además de asegurarse siempre de tener la base de datos con las definiciones de virus actualizada                                                                                
3. Tomar medidas precautorias: Los desarrolladores de MacOS y los diseñadores de software están siempre compitiendo contra los cibercriminales en un interminable esfuerzo por arreglar los estragos que estos causan. Aún así el software no es suficiente para asegurar una máxima protección. Las prácticas que adoptes pueden influir directamente en la efectividad de tus programas y ajustes de seguridad. Hoy en día el método más común para infectar un ordenador es que el malware engañe a los usuarios para que lo instalen aparentando ser una herramienta o una extensión de ella que el usuario necesita. Es muy importante prestar atención a los pop-ups que te aparecen en pantalla antes de abrir un documento obtenido de una página web ya que recientemente se han encontrado algunos documentos de Word que contienen macro virus capaces de acceder a nuestro Mac.

Figura 2: Documento Word infectado.

La seguridad ha sido uno de los factores influyentes en el crecimiento del uso de MacBooks, sin embargo, a día de hoy resultan ser igual de vulnerables que el resto de dispositivos.

Según expertos habrá más malware para mcOS en 2017

Según varios estudios el malware para Mac seguirá aumentando, el sistema operativo de escritorio de Apple podría no estar preparado para afrontar la situación, tal como han afirmado algunos expertos en la conferencia RSA que tuvo lugar en San Francisco hace unos días. Amit Cybereason investigador de Serper asegura que MacOS es tan vulnerable como cualquier otro sistema operativo y que las amenazas que están llegando a Mac cada vez son más y son fáciles de explotar gracias a los avances en la ingeniería social.

Con en aumento en las medidas de seguridad también aumenta el malware, recientemente ha incrementado el número de casos en el que un malware engaña a los usuarios de macOS para que instalen herramientas gratuitas o software cuyo origen no es legítimo y podría dañar nuestros equipos, es muy importante que solo se utilicen herramientas o antivirus oficiales y de fiar.

Hoy en día abundan los scareware que por medio de anuncios y ventanas emergentes te aseguran que la seguridad de tu equipo está comprometida y que debes instalar una herramienta para solucionar el problema cuando tu equipo en realidad no está infectado. Para evitar caer en estas trampas Wardle ha creado una serie de herramientas para Mac que podréis obtener de forma gratuita en su página web, independientemente Wardle también recomienda el uso de LittleSnitch, un sistema de firewall para macOS que cuesta 35 dólares.

Figura 1: Bypass Gatekeeper

Uno de los principales problemas a los que se enfrenta Mac es que cualquiera que disponga de una tarjeta de crédito con 99$ en ella puede obtener un certificado de desarrollador de Apple y la posibilidad de firmar software, gracias a esto se podría evadir Gatekeeper e instalar software malicioso. Además de esto Wardle y el investigador alemán Stefan Esser encontraron una brecha de seguridad en XProtect, el software antivirus que incorpora Mac, el cual aseguran esta anticuado haciendo que se pueda llegar a obtener privilegios root.

El gran aumento de usuarios de Mac ha provocado un incremento en el número de atacantes que ven un mundo de posibilidades para encontrar vulnerabilidades y explotarlas en este sistema operativo. En el pasado 2016 un ramsonware fue capaz de infectar muchos equipos a través de la instalación de versiones corrompidas de BitTorrent Transmission, lo que nos recuerda el cuidado que debemos de tener al instalar cualquier programa en nuestros equipos.