Un listado reciente de los virus, malware y fallos de seguridad relacionados con Mac ... que no son pocos. Parte 2 de 2

Continuamos con este repaso veraniego a algunos de los problemas de seguridad más importantes que han aparecido en los últimos meses dentro del mundo Apple y sobre todo de Mac. En el artículo anterior acabamos hablando de un adware llamado Crossrider. En esta nueva entrega continuamos con la lista donde aparecerán nuevos tipos de adware, malware y otros problemas que afectan directamente la integridad y seguridad de nuestros dispositivos (y los datos). 

OSX/MaMi

Este malware es especialmente virulento, ya que desvía todo el tráfico de red a través de diferentes servidores maliciosos. Es en estos servidores donde comienza a analizar los datos para buscar información sensible, como contraseñas, datos personales, etc. También es capaz de realizar capturas de pantalla, generar eventos del ratón, ejecutar comandos, etc. Una forma sencilla de saber si estamos infectados por este virus es comprobar que no tenemos incluidas entre nuestras DNS las siguientes: 82.163.143.135 y 82.163.142.137.

Meltdown y Spectre

Dos problemas o bugs (fallos de programación) muy conocidos relacionados con la arquitectura x86 y por lo tanto, también afectó a Apple y a prácticamente todos sus dispositivos. Todavía se está especulando el impacto de estos dos problemas ya que no se ha reportado malware capaz de sacar partido de ellos. Por lo tanto, de momento, la única forma de protegernos es, en teoría, mantener actualizado siempre todos nuestros dispositivos a la última versión. Ya hablamos en su día de ellos en este post.

Figura 1. Comparativa entre Meltdown y Spectre. Fuente.

OSX/Dok

Este malware es del tipo troyano capaz de hacer un bypass a la protección de Apple y capturar el tráfico incluso si este está cifrado con SSL-TSL. Para poder conseguir este nivel de ejecución parece claro que tuvieron que conseguir a la cuenta de un desarrollador y utilizar su certificado. El modo de infección de este programa malicioso es a través de campañas de phishing. Como siempre, hay que tener mucho cuidado al hacer click o descargar ficheros adjuntos en correos no deseados.

X-agent

Este malware que apareció en 2017 era capaz de robar contraseñas, tomar capturas de pantalla e incluso descargar las copias de seguridad del iPhone que pudiera localizar en el equipo. 

MacDownloader

Se oculta detrás de una instalación de Adobe Flash (algo bastante habitual como hemos podido observar en otros casos). Cuando se instala aparece una alerta indicando que tenemos adware en nuestro equipo y es aquí cuando este intenta enviar información del usuario (incluido Keychain, donde se almacenan contraseñas, pins, tarjetas de crédito, etc). 

Figura 2. Mensaje que muestra MacDownloader indicando que existe adware en el equipo. Fuente.

Virus de Office (Macros)

Antes de 2011, los usuarios de Apple no tenían este problema ya que Office para Mac no tenía la opción de macros. Pero ese mismo año se volvió a añadir esta característica y es desde este punto cuando han ido apareciendo numerosos casos de este tipo de virus. Para evitarlos, podemos deshabilitar directamente las macros o estar atentos siempre a los mensajes de Office relacionados con ellos.

Hasta aquí este listado de sólo algunos de los malware más conocidos en el mundo Apple. Por supuesto no están todos, faltarían algunos más como KeRanger, OSX/Pirrit, y un largo etc. Esperamos que este listado ayude a concienciar a la gente sobre la importancia de la seguridad de nuestros dispositivos Apple.

Apple actualiza XProtect para combatir los exploits de Windows en máquinas Mac

Apple ha mejorado su software de seguridad XProtect con la idea de que sea capaz de detectar archivos Windows que puedan suponer un peligro para los usuarios de Mac. Según el investigador en ciberseguridad Patrick Wardle, la actualización ahora es capaz de detectar ejecutables del tipo Windows Portable Executable (PE) y archivos y segmentos binarios. Xprotect es un sistema basado en firmas vinculado a los dispositivos iOS y su Gatekeeper. Para proteger y alertar a los usuarios cuando se detecta un archivo malicioso Gatekeeper lo pone en un proceso de “cuarentena” en el que se analiza la firma del mismo y si está en los registros de Xprotect.

XProtect está basado en una herramienta open source desarrollada por Google llamada Yara, esta otra herramienta fue diseñada para la comprobación de malwares basados en reglas establecidas por cadenas y expresiones booleanas. Según Wardle en esta actualización de seguridad se ha añadido la definición de un malware en forma de archivo .EXE (TrojanSpy.MacOS.Winplyer) diseñado para atacar a equipos Mac . A pesar de que los archivos .EXE se asocien comúnmente a Windows el pasado mes de febrero los investigadores de Trend Micro descubrieron una interesante campaña que trataba de armar archivos de este tipo firmándolos con una app llamada Little Snitch.

Figura 1: Archivos .EXE se pueden ejecutar en Mac

Esta campaña de malware tiene como objetivo aprovecharse de esta plataforma de compatibilidad entre Windows y Mac para la sustracción de información y la infección de varios equipos con adwares. Aunque TrojanSpy.MacOS.Winplyer haya sido diseñado para evadir el Gatekeeper de Apple todavía no hay ninguna evidencia de que lo haya logrado, además con XProtect actualizado también se ha cerrado otra posible ruta por la que el malware podría llegar a los equipos. Independientemente de cual sea tu sistema operativo desde Seguridad Apple aprovechamos para recordaros la importancia de revisar los ejecutables que nos descarguemos para asegurarnos de que estos no comprometerán nuestros equipos.

Alerta: BackSwap ya está en España

Como ya ha sucedido en otros muchos países, BackSwap ha llegado a España, a pesar de que este tipo de malware no es muy común en este país su llegada supone un gran riesgo ya que algunos de estos troyanos bancarios son capaces de interceptar las comunicaciones de grandes entidades bancarias y robar el dinero sin levantar sospechas. BackSwap es capaz de inyectar código en la memoria de los navegadores usados por los bancos, interceptar sus comunicaciones y sustraer información bancaria privada a través de métodos complejos.

En la actualidad los troyanos bancarios no son un malware frecuente ni tampoco un fenómeno nuevo, algunos de ellos como BackSwap han ido evolucionando y mejorando con los años para evadir todo tipo de medidas de seguridad, como las impuestas por navegadores como Google o Mozilla tras sufrir los ataques de Zbot, Gozi o Dridex, malwares con los que se sustrajeron gran cantidad de datos bancarios y de tarjetas de crédito hace unos años. El aumento de estas medidas de seguridad se ha traducido en la disminución de este tipo de malware dando oportunidades a otro tipo de prácticas  como el cryptojacking o el ransomware.

Figura 1: Malware BackSwap

La ciberdelincuencia no descansa y por eso es importante tener un extremo cuidado (sobre todo al hacer gestiones bancarias) para no caer en algunas de estas estafas. Desde la firma de seguridad Check Point nos han dado las siguientes recomendaciones o consejos que os ayudarán a mantener vuestras cuentas a salvo.

1. Cuidado al abrir correos electrónicos: Aunque en algunos casos puedan parecer legítimos, los archivos adjuntos pueden contener malware.                                                                                          
2. Adquiere un software de seguridad avanzado: Algunos softwares son capaces de hacerle frente a una gran variedad de malware, evitando que archivos maliciosos hagan cambios en el equipo.                                                                                                                                                    
3. Ten cuidado con los comportamientos sospechosos de los sitios web bancarios: es de vital importancia controlar en todo momento la información que estos servicios nos solicitan para evitar proporcionar información que tu banco no necesita conocer.                                                     
4. Instalar aplicaciones móviles seguras: Aunque la App Store y la Play Store no estén libre de malware, es recomendable obtener las aplicaciones a través de ellas ya que pasan por un intenso proceso de evaluación antes de ser publicadas.

Localizados y detenidos los creadores de WireLurker

WireLurker

Como se suponía, los creadores de WireLurker, la familia de malware para OS X e iOS que fue descubierta por Palo Alto, eran de procedencia China. Así, esta semana pasada los autores, fueron finalmente identificados y detenidos por las autoridades. Los cibercriminales, de apellidos Wang, Lee y Chen han sido acusados formalmente por las autoridades y tendrán que pasar por un juicio y - probablemente - una condena.

A partir de WireLurker, apareció el ataque Masque que puso en evidencia que tanto las apps de OS X como las apps de iOS se encuentran amenazadas contra este tipo de ataques por medio del uso de certificados de desarrolladores para hacer provisioning pofiles.

Figura 1: Los creados de WireLurker detenidos en China

Estos creadores de malware habían infectado 467 aplicaciones para OS X que habían sido descargadas por más de 350.000 usuarios desde un market alternativo llamado Maiyadi y Apple tuvo que tomar medidas para acabar con la red que habían creado y conseguir que los usuarios estuvieran protegidos contra esta amenaza.

Malware hace jailbreak silencioso e infecta terminales iOS

Para instalar un troyano en un terminal con iOS, ya sea iPhone, iPad o iPod Touch, se pueden utilizar diferentes técnicas como están descritas en este artículo de Instalar un troyano en iPhone y cómo se detallan en profundidad en el libro de Hacking iOS: iPhone & iPad. Dentro de las más evidentes se encuentran la de utilizar un provisioning profile con un troyano, técnica que vimos que utilizaba el spyware de FinFisher, o si el terminal tenía realizado el jailbreak, aprovecharse de ello para meter cualquier app maliciosa usando un repositorio no oficial.

Ahora, a través de nuestros amigos de Security By Default hemos visto que Kaspersky se ha tomado con muestras de software de Hacking Team, otra compañía dedicada a crear spyware para gobiernos, que realiza un jailbreak silencioso a los terminales iPhone cuando se conectan a su equipo OS X o Windows. 

Figura 1: Explicación en Kaspersky del funcionamiento del spyware de Hacking Team

Es decir, la víctima es infectada mediante un exploit con un malware para Windows que espera a que se conecte a iTunes un terminal iPhone o iPad objetivo, después, cuando este está disponible vía iTunes y con el passcode desbloqueado, el malware realiza un jailbreak de forma silenciosa e instala el troyano de Hacking Team, llamado Galileo, para controlar todo lo que se hace en el terminal. Vigila que tu dispositivo no tenga hecho el jailbreak, y cuida la seguridad de tu OS X o Windows, que puede afectar seriamente a la seguridad de tu iPhone o iPad si lo conectas a él.

Frutas R.A.T.: Backdoor escrito en Java que afecta a OS X

Figura 1: Logo de Frutas R.A.T.

Hace un tiempo se ha anunciado desde Symantec el descubrimiento de un nuevo troyano, denominado Frutas, que hace las veces de RAT(Remote Access Tool). Creado con un origen hispano, esta herramienta de control remoto está desarrollada  íntegramente en Java, lo cual la convierte en una amenaza multiplataforma: todos los sistemas operativos, incluyendo Windows, Linux y OS X, serán propicios para llevar su propagación y acciones maliciosas por parte de los atacantes. Como curiosidad indicar que cada nueva versión recibe la denominación de un tipo de fruta. 

Figura 2: Creación de un backdoor server con Frutas R.A.T.

El funcionamiento es sencillo. El troyano es un archivo JAR que cuando es ejecutado en el equipo de la víctima, crea un servidor que construye una puerta trasera parseando un fichero de configuración con dirección IP y puerto. Dicha backdoor permite a los atacantes llevar a cabo una gran variedad de acciones: entre otras cosas, explorar los archivos del sistema, matar procesos, hacer saltar un pop-up, descargar y ejecutar ficheros, manejar el navegador e incluso forzar una denegación de servicio. En otras palabras, otorga a los atacantes el control total del equipo de la víctima.

Figura 3: Panel de control de Frutas R.A.T.

Frutas es una herramienta de origen español y aunque su uso todavía no es demasiado frecuente, ya es detectable por más de una veintena de antivirus. Para evitar que se descubra, los delincuentes suelen recurrir a las redes sociales para su propagación, debido a sus laxas medidas de seguridad. Facebook, por ejemplo, no detecta el archivo JAR, así que haciendo un poco de ingeniería social (no muy sofisticada, dicho sea de paso), consiguen un gran número de descargas. En casos como estos, conviene recordar que la mejor defensa contra este tipo de amenazas es el sentido común, y que no es recomendable descargar archivos si no conocemos su procedencia, por mucho que prometan grandes ventajas.

Figura 4: Distribución de Frutas R.A.T. a través de Facebook

Si eres usuario de OS X ten en cuenta que las amenazas existen y están en Internet. De esta forma tan sencilla se puede infectar sistemas operativos de Apple y gracias a vías como Facebook se dispone de un canal de distribución que llega a millones de usuarios en un corto período de tiempo. Recuerda que si ves alguna promoción con enlace externo en sitios como Facebook y detectas que un JAR puede ser ejecutado ten cuidado. 

Intego vence en el Mac anti-virus testing 2014 de Safe Mac

The Safe Mac es un medio online dedicado a la seguridad en el mundo Mac y desde hace años viene haciendo una curiosa comparativa de detección de muestras de malware para Mac OS X conocidas. En este año ha probado con 188 muestras de malware en general de troyanos, rookits, exploits, backdoors, etcétera sobre más de 20 motores de Anti Malware para Mac OS X. Las muestras de malware ya sabéis que son públicas y que pueden conseguirse desde sitios como Contagio para que tú puedas hacer tu propia evaluación de seguridad.

En este caso, las muestras iban desde el año 2004 al 2014 y el único antimalware que ha sido capaz de detectar el 99% de ellas - reconociendo 187 de 188 muestras - ha sido Virus Barrier de Intego, seguido de avast! y ESET CyberSecurity, que han obtenido muy buenos resultados también. La única que no ha reconocido Virus Barrier ha sido una mutación del año 2010 del kit de exploits BlackHole.

Figura 1: Ratio de detección de los 22 AV para Mac OS X

Al final, un antimalware es mucho más que reconocer el número de muestras conocidas, ya que influyen los sistemas heurísticos, la protección de los puntos de entrada, la velocidad de actualización, los ratios de falsos positivos, etcétera, pero está claro que es un aspecto más a tener en cuenta. En la siguiente URL tienes todos los datos explicados y la lista de todas las muestras de malware utilizadas.

"Apple nunca trabajó con la NSA para troyanizar iPhone"

En la pasada presentación de Jacob Applebaum en el 30th CCC se apuntó al trabajo de la NSA para crear un troyano que permitiera espiar remotamente a los usuarios de los terminales iPhone. Este proyecto aparecía en un documento del año 2008 calificado como Top Secret y liberado entre los documentos filtrados por Edward Snowden. En su presentación, Jacob Applebaum dijo que no tenía pruebas de que Apple hubiera colaborado con la NSA para construirlo, pero que difícilmente hubieran podido hacerlo sin la connivencia de Apple.

Figura 1: Proyecto DropOutJeep para troyanizar iPhone

Apple reacción rápidamente, y en AllthigsD se ha publicado una respuesta de Apple a las sospechas de que pudiera haber trabajado con la NSA para habilitar dicho proyecto. Esta es la nota que han publicado con la respuesta de la compañía:

"Apple has never worked with the NSA to create a backdoor in any of our products, including iPhone. Additionally, we have been unaware of this alleged NSA program targeting our products. We care deeply about our customers’ privacy and security. Our team is continuously working to make our products even more secure, and we make it easy for customers to keep their software up to date with the latest advancements. Whenever we hear about attempts to undermine Apple’s industry-leading security, we thoroughly investigate and take appropriate steps to protect our customers. We will continue to use our resources to stay ahead of malicious hackers and defend our customers from security attacks, regardless of who’s behind them."

"Apple nunca ha trabajado con al aNSA para crear una puerta trasera en ninguno de los productos, incluyendo iPhone. Adicionalmente, nosotros desconocíamos la existencia de este supuesto programa de la NSA que tiene como objetivo nuestros productos. Nosotros nos preocupamos profundamente por la privacidad y seguridad de nuestros clientes. Nuestro equipo está continuamente trabajando para hacer nuestros productos incluso más seguros, y hacemos que sea fácil para nuestros clientes mantener el software actualizado con los últimos avances. Cada ver que escuchamos intentos de debilitar la puntera seguridad seguridad de Apple, investigamos de forma completa y tomamos los pasos necesarios para proteger a nuestros clientes. Continuaremos utilizando todos nuestros recursos para estar un paso por delante de hackers maliciosos y defender a nuestros clientes contra los ataques de seguridad, sin importar quién esté detrás de ellos"

En el tono de la contestación se trasluce un tono de enfado ya con todas las informaciones acaecidas con las actividades de la NSA, algo que es común con el resto de las empresas tecnológicas Norte Americanas que firmaron una carta enviada al gobierno pidiendo cambios en las prácticas de la agencia de investigación.

Malware para Mac OS X y exploits del CVE-2009-0563

En el blog Contagio, donde habitualmente hacen recopilaciones de muestras de malware, han recopilado 75 muestras de malware distintas para sistemas Mac OS X y 25 muestras de exploits para el CVE-2009-0563 que se ha utilizado en esquemas de ataque basados en documentos Office para Mac. El paquete está disponible para descarga desde el blog de Contagio. donde se puede acceder a todas las muestras que van recopilando de malware para OS X o a paquetes antiguos de malware para Mac OS.

Entre las piezas de malware que han recopilado están:

OSX_AoboKeylogger, OSX_BackTrack-A, OSX_Boonana, OSX_ChatZum, OSX_Clapzok, OSX_Crisis, OSX_Dockster_Backdoor, OSX_FkCodec, OSX_Flashback, OSX_Fucobha_IceFog , OSX_GetShell, OSX_Hacktool_Hoylecann, OSX_HellRaiser, OSX_HellRTS, OSX_Hovdy_Backdoor, OSX_Inqtana, OSX_Iservice, OSX_Jahlav, OSX_Kitmos, OSX_Lamadai, OSX_Leverage_A_Backdoor, OSX_LocalRoot, OSX_Macarena_A, OSX_MacDefender, OSX_MacKontrol, OSX_Macsweeper, OSX_Miner_DevilRobber, OSX_Olyx_Backdoor, OSX_OpinionSpy, OSX_PSides, OSX_Genieo, OSX_PUP_PerfectKeylog, OSX_Renepo, OSX_Revir, OSX_Safari, OSX_SniperSpy, OSX_Wirenet, OSX_Yontoo y OSXWeapoX

Como podéis ver, muchas de estas muestras de malware ya han pasado por las páginas de nuestro blog, y otras lo han hecho con otros nombres, que ya sabéis que cada empresa de antimalware utiliza su propia nomenclatura. En cualquier caso, si eres investigador es una buena fuente de estudio y si eres usuario de Mac OS X, ya sabes que sí, sí hay malware para Mac OS X - incluso si un iGenius te dice que no en una Apple Store -.

Malware en iOS prácticamente inexistente. Gana Android.

Si hay que hablar de malware distribuido masivamente en Internet en los dispositivos iOS, hay que decir que que es prácticamente inexistente. Lo mismo sucede con BlackBerry o Windows Phone, mientras que Android sigue siendo la plataforma que más malware atrae, siendo el número de muestras que se encuentran día a día creciente. Según el informe de Kaspersky, los datos de muestras localizados en 2012 son bastante claros al respecto.

En el caso de iOS, las muestras de malware en terminales sin jailbreak se reducen a la aparición de Find & Call en la App Store. Si hablamos de troyanos para ataques dirigidos, mediante el uso de provisioning profiles, la cosa cambia, y hemos visto recientemente el uso de este truco en el fake cargador MacTans y en el archifamoso FinSpy para iOS de FinFisher.

Figura 1: Muestras de malware por sistema operativo en 2012

En el mundo de los terminales con jailbreak, también existen muchos troyanos comerciales como FlexiSpy o iKeyGuard, que pueden instalarse y acceder a todos los datos del terminal.  Es decir, al final existen muchas formas de instalar un troyano en un iPhone o iPad, pero como dice el informe, al final el malware profesional está siendo desplegado masivamente en el mundo Android.

MacTans: Un cargador que troyaniza tu iPhone & iPad

Las técnicas Juice Jacking son conocidas hace ya tiempo. Con ellas, un cargador malicioso puede robar datos almacenados en un smartphone. Lo novedoso sin duda es poder inyectar código a través de las funciones que se exponen en el proceso de conexión de un terminal iOS a un cargador de batería malicioso. Este es el objetivo de MacTans, que va a ser presentado en la próxima BlackHat USA 2013.

Figura 1: Descripción de la presentación de MacTans en BlackHat USA 2013

Según se puede leer en la descripción de la charla, es posible inyectar código arbitrario en un sistema sin necesidad de que este tenga realizado el jailbreak. Suponemos que el malware que se inyecte en un terminal sin jailbreak deberá estar firmado digitalmente, pero ya se conocen técnicas para que funcione malware en un terminal iOS sin pasar por la App Store. En cualquier caso, habrá que esperar a los detalles de la charla en Julio.

Malware en dispositivos móviles en el año 2012

La compañía de seguridad F-Secure ha publicado un informe con el malware encontrado en sistemas operativos móviles durante el año 2012, donde indudablemente Android se lleva la palma en cuanto a número de muestras encontradas. Centrándonos en los dispositivos móviles de Apple, es decir, iPhone, iPad e iPod Touch, el número de muestras localizadas para terminales sin jailbreak se reduce a dos: Find and Call, que fue encontrado en el App Store, y FinSpy, que utiliza distribución basada en ataques dirigidos con provisioning profiles.

Figura 1: Calendario de acontecimientos en malware durante 2012

Sin embargo, la empresa Lacoon Mobile Security presentaba esta semana en Black Hat Europe una charla titulada Practical Attacks against Mobile Device Management (MDM) en la que ofrecía los resultados de dos estudios realizados durante Marzo de 2012 y Octubre de 2012 localizando el porcentaje de equipos infectados usando análisis de tráfico en un operador de comunicaciones. Según su estudio, 1 de cada 3.000 equipos en el mes de Marzo y 1 de cada 1.000 en el mes de Octubre, estaban infectados con algún malware.

Figura 2: Datos ofrecidos por Lacoon Mobile Security en Black Hat Europe 2013

Lo sorprendente es que según sus datos, los dispositivos iOS, tenían más malware que los de Android en cuanto a troyanos de espionaje instalados - con jailbreak realizado - tipo iKeyGuard o FlexiSpy. Sea como fuere, está claro que hay que tener cuidado con tu dispositivo iPhone y que hay que evitar perderlo de vista en manos peligrosas.

{OSX/NetWeirdRC | Wirenet}: Troyano para OS X y Linux

La web de la compañía de antimalware Dr. Web ha publicado la información sobre un nuevo malware al que han bautizado como BackDoor.Wirenet.1 que ha llegado a su base de datos de muestras. Este troyano, una vez analizado, ha resultado ser un malware multiplataforma entre OS X y Linux, focalizado en el robo de contraseñas para enviarlas a un panel de control, usando AES (Advanced Encryption Standard) como sistema de cifrado en la comunicación.

El malware roba las contraseñas que son introducidas a través de los navegadores Opera, Firefox, Chrome y Chromium usando funciones de keylogging, además de robar las passwords almacenadas por programas como ThuderBird, SeaMonkey y Pidgin.

Figura 1: Sección de código para el cifrado con AES y envío de datos al C&C

No se tiene claro aún como se despliega este backdoor, pero una vez instalado, se copia en los directorios de usuario.

- Mac OS X: %home%/WIFIADAPT.app.app
- Linux: в ~/WIFIADAPT

Este malware parece ser el mismo que reportaba Intego, al que bautizaron como OSX/NetWeirdRC, y que fue descubierto vía Virus Total. El malware parece que está siendo vendido en Internet al precio de 60 USD, aunque se desconoce más sobre dónde ha podido ser utilizado. En las pruebas realizadas a esta otra muestra, el fichero se copiaba en /tmp/.lbOOjfsO y no parecía soportar la persistencia al reinicio.

Las muestras de malware que funcionan en sistemas Mac OS X ya no son una novedad, y tras ver la que tenemos hoy en día con el 0day de Java, es más que recomendable que tengas un sistema de antimalware con protección en tiempo real activado en tu Mac OS X. Hoy mismo ha reportado Intego, que por medio del bug CVE-2012-4381 se está desplegando una variedad de OSX/Tsunami, del que ya hablamos en Octubre del año pasado.

Regalo de troyanos para este Black Friday

El Black Friday es un evento muy especial e importante dentro de la economía americana - que se está empezando a exportar gracias a la globalización de Internet y las multinacionales - en el que los productos alcanzan descuentos altísimos, lo que genera que haya una gran cantidad de consumo de productos esos días - incluidos los de los scalpers -. Muchos americanos realizan la mayor parte de su gasto al año en material que no sea de primera necesidad ese día, lo que obliga a tiendas y empresas a realizar campañas muy diversas de captación de usuarios.

Figura 1: Campaña del Black Friday de Apple

Por supuesto, las tiendas Apple Store son objeto marcado a fuego en la lista de deberes de muchas personas, que incluso piden el día libre para irse a comprar. Es por ello que los estafadores crean también sus campañas de malware centradas en personas que están acumulando descuentos extras para el Black Friday y las tiendas Apple.

Figura 2: Spam con troyano simulando ser un regalo de 50 dólares para la tienda Apple

Así, como reportan en Naked Security, si te llega un bono regalo de 50 dólares americanos para iTunes, ten mucho cuidado, porque puede ser malware. En esta ocasión un troyano para sistemas Microsoft Windows que no te gustaría tener en la máquina desde la que vas a realizar tus compras online.

Apple ha sido un reclamo clásico en las campañas de malware y Black SEO por spam, como ya se vio con los phishers de la Apple Store, las campañas de Viagra o el famoso iPhone 5 que ya podrías tener en tu poder. Se cauto con lo que llega por e-mail. 

Feliz y segura compra a todos!

Cómo saber si hay un malware en tu Mac OS X

Una de las peores sensaciones que se puede tener cuando se está trabajando con un equipo es la de que algún malware está instalado en nuestro equipo. No importa si es paranoia o hay indicios de una posible infección, en ese momento, hay que tomar medidas o nunca usarás más tu computadora a gusto. En este post intentaremos darte algunas recomendaciones para analizar tu equipo, probando algunas cosas sencillas que pueden ayudarte.

Primero el Antimalware

Todavía puedes encontrar a gente que dice que en Mac OS X no hay malware, pero la lista de troyanos, gusanos, y software malicioso del que puedes haber sido víctima tú o alguien que haya usado el mismo sistema es amplia. De los conocidos este año, solamente, hemos tenido cosas como OSX/Tsunami, OSX/Miner-D, OSX/FlashBack, MacDefender y OSX/Revir, pero también tenemos troyanos como DarkCometX RAT o Hellraiser que pueden haber sido instalados por alguien que haya tendio acceso al sistema o mediante ingeniría social.

Figura 1: Bitdefender para Mac OS X

Todo ese malware está firmado ya por los múltiples antivirus que existen para Mac OS X, así que instala uno profesional, como por ejempolo Bitdefender para Mac OS X, y escanea completamente tu sistema en busca de cualquier fichero sospechoso.

Busca los rootkits

Es cierto que las técnicas más avanzadas utilizadas por el malware pueden ser lo bastante efectivas como para ocultar los procesos en los resultados que muestran los comandos, como hacen los rootkits, así que, por si hay algún proceso oculto en tu sistema te recomendamos utilizar un antirootkit para Mac OS X, como por ejemplo OSX Rootkit Hunter

Figura 2: OS X Rootkit Hunter

Los procesos

Una vez que hayas buscado el malware y los rootkits, podrías analizar los procesos de tu sistema. Tal vez esos comportamientos extraños de tu equipo no se deban a software malicioso, sino a algo que funciona mal, así que puedes intentar catalogar todo lo que se está ejecutando en tu sistema. Para sacar una lista de todos los procesos que se están ejecutando, utiliza un comando como ps -A.

Figura 3: Salida del comando ps -A

Respecto al comando ps, también vimos ya, como podíamos utilizarlo para detectar procesos ejecutándose en backgroung, que alguien hubiera querido ponernos para hacernos una jugarreta.

Triviaware: Analisis de la salida de ps

Tanto si eres un usuario normal, como si eres un técnico, es probable que te cueste identicar todos los procesos de tu sistema. Por eso existe proyectos como el de Triviaware que permite analizar los nombres de todos procesos de Mac OS X para entender qué puede ser ese proceso en concreto en función del nombre y la ruta. Para que sea fácil, basta con volcar la salida del comando ps -A a un fichero de texto y enviarlo a la web de proyecto, para obtener la información que el sistema tiene de ellos.

Figura 4: Proyecto de Triviaware

Por supuesto, como se puede ver en la imagen siguiente, hay algunos que no están catalogados, por lo que el proyecto los mostrará con un icono en el que se da la opción de buscar más información en Google de lo que podría ser ese proceso en concreto.

Figura 5: Resultados del análisis. Los no reconocidos aparecen en azul

Procesos uno a uno con macinside

Otro sitio para mirar los procesos de un sistema con Mac OS X en función de su nombre es macinside, que cuenta con un buscador donde basta con poner el nombre del proceso y se obtiene una pequeña descripción de lo que puede ser ese proceso en concreto.

Figura 6: Resultados del buscador

Este proyecto tiene también una pequeña herramienta que escanea el sistema para realizar una labor similar a la de búsqueda de procesos. Lo que hace el escaner es algo al similar al proyecto de triviaware, enviando la lista de procesos y mostrando en la web los resultados.

Figura 7: Lista de procesos encontrados

¿Sospechas de alguno? Usa instruments

Un malware podría utilizar un nombre de proceso utilizado por algún programa catalogado que no sea muy extendido, simulando ser algo más normal. Lo ideal sería poder contar con una lista de procesos firmados digitalmente que nos permitiera garantizar que todo lo que se está ejecutando es lo que debe estar, pero la complejidad del ecosistema de software que hoy en día tenemos en un Mac OS X hace que sea dificil.

Así que, si después de haber comprobado todo tienes sospechas de alguna aplicación en concreto, entonces puedes utilizar Instrumets y comprobar a qué partes del sistema está accediendo ese programa.

Figura 8: Instruments analizando una aplicación en el sistema

Después de haber hecho todo esto, si te siguen quedando dudas, no te lo pienses, reinstala el sistema completamente. Es mejor empezar de cero a vivir con sopechas o paranoias.