Los expertos de seguridad de
CheckPoint informaban hace pocas horas del descubrimiento de un nuevo malware
para macOS denominado con el nombre OSX/Dok. Este malware es relativamente
nuevo, afecta a todas las versiones de este sistema operativo, utiliza una
firma auténtica y verificada por Apple y, además, ningún antivirus de
VirusTotal es capaz de detectarlo a día de hoy.
Aunque por el momento no se ha
confirmado, se cree que este malware puede haber llegado a los usuarios a
través de una campaña de Spam a gran escala. Este software malicioso tiene como
víctima a los usuarios de Europa, y el mayor número de infecciones se han
detectado en Alemania.
El correo electrónico utilizado para
llevar a cabo estos ataques informáticos adjunta un archivo llamado
Dokument.zip firmado con la firma verídica que hemos dicho antes. Cuando la
víctima intenta descomprimir el archivo, el malware se copia automáticamente a
la carpeta /Users/Shared/ y se ejecuta desde allí con los siguientes 3
comandos:
- chmod, para darle permisos de ejecución al malware.
- rm -fr, para eliminar el archivo original
Dokument.app.
- Dokument, para ejecutarse automáticamente.
Una vez que el malware está ejecutado,
mostrará un mensaje en el sistema de la víctima en el que se indica que se han
detectado fallos de seguridad graves y que se debe instalar un parche de
seguridad. Al intentar instalar este parche, el malware pedirá la contraseña de
administrador a la víctima.
Cuando la infección se completa, el
pirata informático tiene acceso completo al sistema de la víctima, incluso al
tráfico cifrado con SSL, reenviando todo el tráfico a través de un proxy
controlado por el pirata. Para ello, utiliza un certificado firmado por Comodo
con el que realizar, en términos generales, un ataque MITM.
Este software malicioso también
instala otros paquetes, como brew, utilizado para poder redirigir el tráfico a
través de la red Tor. Una vez que el reenvío del tráfico está completo, el
malware se elimina a sí mismo del ordenador.
Cómo desinfectar
nuestro macOS de esta amenaza y cómo protegernos de ella
- Como hemos dicho, este malware está llegando a los
usuarios a través del correo electrónico, por lo que el primer paso para
protegernos de él es evitar descargar y ejecutar cualquier tipo de archivo
que recibamos a través de nuestro correo. Además, como ningún software de
seguridad lo reconoce, estos no nos protegerán.
- En caso de haber sido infectados por este malware,
como hemos dicho, una vez termina de redirigir todo el tráfico, se elimina
automáticamente, por lo que el siguiente paso será comprobar la
configuración de proxy de nuestro sistema, eliminando cualquier valor
sospechoso que pueda aparecer en él, así como los certificados que no
reconozcamos y estén instalados en el sistema, como el certificado de
Comodo que podemos ver en la web de CheckPoint.
Fuente: CheckPoint