Junio fue un mes ocupado para el malware de Mac con la circulación activa de al menos seis amenazas, varias de las cuales pudieron eludir las protecciones de seguridad que Apple ha incorporado en las versiones modernas de su macOS.
El último descubrimiento fue publicado el viernes por el proveedor de antivirus para Mac Intego, que reveló un malware denominado OSX/CrescentCore que está disponible a través de los resultados de búsqueda de Google y otros canales principales. Se hace pasar por un actualizador o instalador para el reproductor multimedia Flash de Adobe, pero en realidad es solo un medio persistente para que sus operadores instalen extensiones maliciosas de Safari, limpiadores de disco no autorizados y potencialmente otro software no deseado.
“El equipo de Intego ha observado que OSX/CrescentCore se distribuye libremente a través de numerosos sitios”, escribió Joshua Long de Intego sobre dos versiones separadas del malware que encontró su empresa. “Los usuarios de Mac deben tener en cuenta que pueden encontrarlo, incluso a través de fuentes aparentemente inocuas, como los resultados de búsqueda de Google”.
Evasiones de seguridad
Long dijo que las versiones de CrescentCore que observó estaban firmadas con certificados pertenecientes a un desarrollador de confianza de Apple. Eso permitiría que el malware pase por alto a Gatekeeper, una protección de macOS que está diseñada para frustrar el malware al permitir que solo se instalen aplicaciones firmadas digitalmente. Ambas versiones recuperadas de CrescentCore están firmadas por certificados asignados a un desarrollador que usa el nombre Sanela Lovic usando las huellas digitales del certificado 5UA7HW48Y7 y D4AYX8GHJS.
Long dijo que denunció el abuso del certificado a Apple, pero a principios de la tarde del viernes, una herramienta llamada WhatsYourSign, desarrollada por el experto en seguridad de Mac Patrick Wardle, mostró que ambos certificados de firma seguían siendo válidos. El viernes por la noche, la herramienta mostró que un certificado había sido revocado y otro seguía siendo válido.
CrescentCore utiliza otras técnicas para evitar la detección y el análisis. Después de que los objetivos hagan clic en el instalador/actualizador de Flash falso, primero verifica si está a punto de instalarse dentro de una máquina virtual o en una Mac que ejecuta software antivirus. Si cualquiera de esas posibilidades resulta ser cierta, el troyano simplemente saldrá y no hará nada más. Los investigadores de seguridad casi siempre prueban el malware sospechoso dentro de las máquinas virtuales para evitar infectar accidentalmente las computadoras de trabajo confiables.
Los usuarios de Mac que deseen comprobar si hay infecciones deben buscar archivos con el nombre Player.dmg (o Player #.dmg o Player (#).dmg donde # es un número como 1 o 2) descargados en la carpeta Descargas. Las Mac infectadas también pueden contener carpetas o archivos con los siguientes nombres:
- /Librería/com.apple.spotlight.Core
- /Biblioteca/Soporte de aplicaciones/com.apple.spotlight.Core
- /Librería/LaunchAgents/com.google.keystone.plist
- com.player.lights.extensiones.appex
La publicación de Intego del viernes enumera una de al menos seis amenazas para macOS que han salido a la luz este mes. Otros incluyen:
- OSX/Linker, una familia de malware para Mac que explota una vulnerabilidad de día cero en Gatekeeper para que pueda instalar malware sin firmar. La técnica de explotación, que fue revelada por el investigador Filippo Cavallarin el mes pasado, funciona cargando instaladores desde un disco compartido en red, que está fuera del alcance de Gatekeeper.
- Un minero de criptomonedas denominado LoudMiner por ESET y Bird Miner por Malwarebytes, las dos empresas que lo descubrieron de forma independiente. Los mineros, que se encuentran en un instalador descifrado para el software de producción musical de alta gama Ableton Live, funcionan emulando Linux.
- Malware denominado OSX/Newtab, que intenta inyectar pestañas en el navegador Safari. Algunos de los nombres de los archivos se disfrazan como formularios gubernamentales o aplicaciones de recetas. Todas las muestras tienen un identificador de com.NTAppStubInstaller y se firmaron digitalmente con el ID de desarrollador de Apple cosmina beteringhe (HYC4353YBE).
- Puertas traseras denominadas NetWire y Mokes que se instalaron en ataques salvajes que explotaban un par de potentes días cero de Firefox para apuntar a las personas involucradas con las criptomonedas. Ambas puertas traseras pudieron pasar por alto a Gatekeeper y no fueron detectadas por los motores antivirus en el momento en que se activaron los ataques.
La actividad reciente es una indicación de que cada vez más desarrolladores de malware consideran que vale la pena dedicar tiempo a crear productos maliciosos para macOS, una plataforma que rechazaron en gran medida hace una década. Como es el caso de las computadoras con Windows, la mejor manera de proteger las Mac contra el malware es garantizar que el sistema operativo, los navegadores y las extensiones de los navegadores se actualicen lo antes posible después de que se publiquen los parches de seguridad. Otra salvaguarda clave es nunca ejecutar una versión independiente de Flash (la que está integrada en Chrome generalmente está bien).
