Un troyano para Mac, ya en su tercera versión

(Por Rubén Borlenghi, el Microsaurio) La jungla del malware para Mac tiene más ocupantes. El troyano-descargador Flashback, que apareció en octubre, resurge en una nueva variante, mejorada (es un decir) para desgracia de quienes le hagan clic. Porque, de nuevo, hay que tener claro que no se autoinstala; necesita la ayuda del dueño de la máquina. Si te perdiste el principio de la película, vení que te cuento.

Desde la aparición del malware llamado MACDefender y la respuesta de Apple, su software de detección y borrado de amenazas XProtect, pasaron seis meses más o menos aceptables. Pero entre octubre y noviembre fueron detectadas tres variantes de un troyano llamado Flashback; que en un ataque de originalidad fue bautizado así porque…se disfraza como una actualización de Adobe Flash. Y claro que no lo es. Lo de “troyano-descargador” es mi traductoadaptación de trojan downloader: es un troyano porque se disfraza como una aplicación legítima; y además, se lo usa para descargar más malware desde un servidor remoto.
El problema se hizo grave esta semana, y lo publicaron varios websites especializados, entre ellos el de la empresa Intego, que casualmente vende un antivirus para Mac. Y que como quien no quiere la cosa hace notar que el XProtect (gratuito, provisto por Apple) no detecta las variantes nuevas de la porquería nombrada.
En efecto, el programa de detección de malware de la gente de la Manzanita emplea “firmas”, que es como llaman las empresas de antivirus a las cadenas de caracteres que identifican cada amenaza. Y hasta ayer, el Flashback modelo “C” no era descubierto.
El sistema es bastante conocido, diría cualquier usuario de Windows. El incauto de turno hace clic en un link aparecido en Facebook, o en su messenger, o en un email. Usualmente, lo están invitando a mirar una foto o video. En lugar de ver imágenes, aparece un cartelito “instalar Flash Player” parecido al de la imagen que está ahí abajo. Y para instalar, le pide al usuario su contraseña de Administrador. Y el tipo (¡cuándo no!) mete la contraseña, nomás.

 

 

Llamando a China, y atacando con todo
Según leí en una nota técnica de la empresa F-Secure, una de las primeras cosas que hace este programa descargador de malware es verificar que no esté instalada en la Mac el software Little Snitch, que es un firewall. Si lo detecta, el troyano aborta su instalación y se autoborra.
Si todo sale bien (para el invasor, no para el dueño de la Mac) el malware se conecta con un server y le transmite información técnica sobre la máquina que ha parasitado. Dentro del texto del mensaje, los investigadores encontraron la palabra “Jiangxi”, que es el nombre de una provincia de China. Mirá vos.
El software de ataque también busca los subdirectorios donde esté instalado el browser de la Mac, sea Safari o Firefox, y les agrega bibliotecas dinámicas que serán cargadas la siguiente vez que el navegador sea iniciado.
Su último paso es buscar, encontrar y borrar la rutina de actualización del XProtect, residente en la Mac, para evitar una identificación futura. Luego de esto, se conecta con su “jefe” y descarga más malware.
¿Solución? En la página de F-Secure de la cual mostré el link hay instrucciones (nada elementales…) para borrar este malware. Además, algunos proveedores de antivirus para Mac permiten la descarga de versiones de prueba, que deberían solucionar el problema.
Y como suelo agregar… queridos maqueros, bienvenidos al mundo real.

Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

Ver todas las entradas de Ricardog →

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.