1 de mayo de 2017

Un nuevo malware para macOS quiere leer tu tráfico HTTPS

Los expertos de seguridad de CheckPoint informaban hace pocas horas del descubrimiento de un nuevo malware para macOS denominado con el nombre OSX/Dok. Este malware es relativamente nuevo, afecta a todas las versiones de este sistema operativo, utiliza una firma auténtica y verificada por Apple y, además, ningún antivirus de VirusTotal es capaz de detectarlo a día de hoy.
Aunque por el momento no se ha confirmado, se cree que este malware puede haber llegado a los usuarios a través de una campaña de Spam a gran escala. Este software malicioso tiene como víctima a los usuarios de Europa, y el mayor número de infecciones se han detectado en Alemania.
El correo electrónico utilizado para llevar a cabo estos ataques informáticos adjunta un archivo llamado Dokument.zip firmado con la firma verídica que hemos dicho antes. Cuando la víctima intenta descomprimir el archivo, el malware se copia automáticamente a la carpeta /Users/Shared/ y se ejecuta desde allí con los siguientes 3 comandos:
-       chmod, para darle permisos de ejecución al malware.
-       rm -fr, para eliminar el archivo original Dokument.app.
-       Dokument, para ejecutarse automáticamente.
Una vez que el malware está ejecutado, mostrará un mensaje en el sistema de la víctima en el que se indica que se han detectado fallos de seguridad graves y que se debe instalar un parche de seguridad. Al intentar instalar este parche, el malware pedirá la contraseña de administrador a la víctima.
Cuando la infección se completa, el pirata informático tiene acceso completo al sistema de la víctima, incluso al tráfico cifrado con SSL, reenviando todo el tráfico a través de un proxy controlado por el pirata. Para ello, utiliza un certificado firmado por Comodo con el que realizar, en términos generales, un ataque MITM.
Este software malicioso también instala otros paquetes, como brew, utilizado para poder redirigir el tráfico a través de la red Tor. Una vez que el reenvío del tráfico está completo, el malware se elimina a sí mismo del ordenador.
Cómo desinfectar nuestro macOS de esta amenaza y cómo protegernos de ella
  • Como hemos dicho, este malware está llegando a los usuarios a través del correo electrónico, por lo que el primer paso para protegernos de él es evitar descargar y ejecutar cualquier tipo de archivo que recibamos a través de nuestro correo. Además, como ningún software de seguridad lo reconoce, estos no nos protegerán.
  • En caso de haber sido infectados por este malware, como hemos dicho, una vez termina de redirigir todo el tráfico, se elimina automáticamente, por lo que el siguiente paso será comprobar la configuración de proxy de nuestro sistema, eliminando cualquier valor sospechoso que pueda aparecer en él, así como los certificados que no reconozcamos y estén instalados en el sistema, como el certificado de Comodo que podemos ver en la web de CheckPoint.
Fuente: CheckPoint