2017 reta la seguridad de Mac OS

  • Reportajes

El primer virus para MacOS data de 1987, se llamva nVIR e infectaba los Apple Macintosh a través de los floppy disk. Quince años después el número de familias de malware para MacOS no dejan de crecer.

La mayor penetración de Windows ha convertido al sistema operativo de Microsoft en el preferido de los hackers. Sin embargo, los días en los que un usuario de Mac podía estar relativamente seguro parecen estar llegando a su fin. Así ha quedado demostrados este verano, después de que Malwarebytes haya advertido que el ransomware para Mac, y para dispositivos Android, se haya incrementado de manera significativa el pasado año.

También puedes leer...

Informe global sobre Seguridad de la Información 2016-2017

Evolución de los ataques con exploits

GDPR: todas sus claves

Riesgos de IoT en las empresas

Desarrollo de estrategias de ciberseguridad nacional

Es más, la firma de seguridad ha encontrado más malware para Mac en el segundo trimestre de este año que en todo 2016.

Entre las nuevas amenazas para Mac más significativas cabe destacar Proton RAT, un troyano que exfiltra datos de contraseñas. Apple desveló esta amenaza en febrero de este año, hacia la misma fecha en la que compañía de monitorización web Sigfill detectó una primera versión del malware con varias capacidades de spyware y phishing en un foro ruso. Poco después, en mayo de 2017 los cibercriminales reemplazaron el paquete de instalación de un software de vídeo de código abierto, HandBrake, para poder infectar a los usuarios de Mac con una variante más reciente

Después de los datos recogidos en su informe Malwarebytes predice que los usuarios de Mac se verán especialmente afectados por losPotential Unwanted Programs (PUPs), que ya se han convertido en una molestia este año.

Fruitfly, al malware indetectable

Quizá la mayor alarma que los usuarios de Mac han tenido este año es Fruitfly, un malware que les lleva espiando desde hace más de diez años sin que lo sepan, y que sólo unos pocos productos de seguridad son capaces de detectar.

El controlador de este malware tiene la capacidad de tomar el control del ordenador infectado de manera remota, pudiendo acceder a la pantalla, webcam, teclado y ratón.

Apple lanzó un parche para Fruifly a primeros de año, pero durante los siguientes meses han estado apareciendo variantes del mismo.

El núcleo del malware es un script ofuscado que usa código anticuado, lo que sugiere que el código puede tener una década o más. Sin embargo, el malware funciona tambien en versiones modernas de MacOS, incluyendo Yosemite. Fruitfly se conecta y se comunica con un servidor de comando y control, donde un atacante puede espiar y controlar de forma remota el Mac infectado.

Entre los detalles que llamaron la atención de los expertos de seguridad el hecho de que el malware sea capaz de enviar una alerta cuando el usuario está activo. Esto evita que el atacante interfiera y no se detecte la presencia del malware.

También se han detectado algunos comandos que soportan parámetros adicionales, de forma que cada uno de ellos ofrecen más opciones, como el poder hacer una captura de pantalla con diferentes calidades, lo que resulta muy útil para no ser detectado con conexiones de bajo ancho de banda.

Malware bancario para MacOS

También este año ha tenido que lidiar el sistema operativo de Apple con un malware bancario. Detectado por Check Point, OSX/Dok es una variante de Retefe, que lleva varios años atacando a usuarios de Windows para hacerse con el control del tráfico web y robar credenciales bancarias.

Explicaba la firma de seguridad hace unas semanas que OSX/Dok se distribuye a través de una campaña de phishing. El usuario recibe un email con un archivo zip adjunto que instala el malware y hace que el sistema operativo desactive las actualizaciones de seguridad del ordenador. Después, lanza un ataque de Man-in-the-Middle, permitiendo un acceso completo a todas las comunicaciones de la víctima, incluso aunque esté utilizando un cifrado SSL. Además, los autores del malware utilizan certificados legítimos de desarrollador de Apple para hacer más difícil la detección.

El malware también geolocaliza la dirección IP de la víctima para, según el país europeo en el que esté, redirigir su tráfico utilizando un proxy. Cada vez que el usuario intenta entrar en el portal de una entidad bancaria, le envía a una página falsa, que le pide sus claves de identificación.

Es más, según las investigaciones de Check Point la web fraudulenta también puede solicitar instalar una app móvil a través de un código QR o un SMS por motivos de seguridad.