"Siempre Innovando para garantizar su tranquilidad"

Troyanos a gran escala contra Mac , Cuidado ¡¡

02 May

Troyanos a gran escala contra Mac , Cuidado ¡¡

Desde hace tiempo  se viene diciendo que el malware contra Mac iría en aumento. Que el malware se haya centrado en Windows ha sido sobre todo porque hasta no hace mucho ese sistema tenía casi un monopolio en la computación doméstica.

Check Point ha descubierto recientemente , que se está distribuyendo sobre todo a través de phishing por email y se trata del primer troyano a gran escala contra macOS (el sistema operativo para los ordenadores Mac). Los mensajes maliciosos van dirigidos sobre todo a usuarios europeos y tienen adjuntado un fichero comprimido ZIP con un malware que toma el control del sistema y permite a los atacantes interceptar el tráfico de Internet de la víctima para espiarla o suplantar sitios web. Obviamente, nada de esto pasa si el usuario no abre el fichero ZIP correspondiente al ataque de phishing.

Estamos ante un ataque de phishing normal basado en ficheros adjuntos, por lo que el usuario no queda infectado al abrir el mensaje malicioso, sino el fichero adjuntado. El código malicioso de Dok incluye un certificado falso que se salta el cribado realizado por GateKeeper. En caso de tener un macOS infectado por este malware, se puede seguir las siguientes instrucciones para eliminarlo:

  1. Hacer clic en el icono del Menú de Apple en la esquina superior izquierda de la pantalla.
  2. Hacer clic en las Preferencias del Sistema desde el menú desplegable.
  3. Hacer clic el Red (Network).
  4. Seleccionar la conexión a Internet actual (Wi-Fi o Ethernet).
  5. Hacer clic en Avanzado en la parte inferior derecha de la ventana.
  6. Seleccionar la pestañas de Proxies.
  7. Seleccionar Configuración Automática de Proxy.
  8. Borrar la URL mostrada como http://127.0.0.1.5555 con todo lo que le sigue después.

 

Dok también instala dos LaunchAgents, los cuales tienen que ser encontrados y borrados. Estos son los ficheros con su ubicación.

/Users/_%User%_/Library/LaunchAgents/com.apple.Safari.proxy.plist
/Users/_%User%_/Library/LaunchAgents/com.apple.Safari.pac.plist

Por último, hay que borrar el certificado falso de Desarrollador de Apple siguiendo los siguientes pasos:

  1. Lanzar Finder (el explorador de archivos).
  2. Seleccionar Aplicaciones.
  3. Abrir la carpeta Utilidades.
  4. Doble click sobre Acceso a llaveros.
  5. Seleccionar el certificado con nombre COMODO RSA Secure Server CA 2.
  6. Hacer clic con el botón secundario del ratón sobre el mencionado certificado.
  7. Seleccionar Borrar Certificado desde el menú desplegable.
  8. Seleccionar Borrar para confirmar que se quiere borrar el certificado.

Nunca abrir un email de una fuente no confiable o desconocida

Suena a perogrullada, pero es un consejo que nunca viene mal repetirlo: Nunca abrir emails de procedencia desconocida o sospechosa, incluso si se usa un sistema operativo menos acosado por el malware como MacOS o Linux.

El tener un sistema operativo menos acosado por el malware no es excusa para bajar la guardia ante el malware, más si tenemos en cuenta que están surgiendo programas maliciosos realizados con tecnologías multiplataforma como

Qt y JavaScript.

 

Write a Reply or Comment