Se ha detectado un nuevo tipo de ataque de hombre en el medio en la naturaleza, dirigido a la Mac de Apple. Apodado OSX / DOK, se basa en una nueva variedad de malware macOS que aprovecha un certificado de seguridad falso para evitar la protección Gatekeeper de Apple. Los programas antivirus populares actualmente no pueden detectar OSX / DOK.
The Hacker News e investigaciones en CheckPoint explican que el malware afecta a todas las versiones de macOS mediante el uso de un certificado de desarrollador válido firmado por Apple. Esto es lo que hace OSX / DOK, cómo funciona, cómo saber si está afectado y qué puede hacer para protegerse y evitar este tipo de ataques en el futuro.
¿Qué es OSX / DOK??
OSX / DOK es un nuevo tipo de malware distribuido a través de una campaña de phishing por correo electrónico.
Ha sido diseñado específicamente para propietarios de Mac. OSX / DOK afecta a todas las versiones de macOS y puede evitar ser detectado por la mayoría de los programas antivirus. Está firmado con un certificado de desarrollador válido autenticado por Apple, lo que significa que evita la detección por la función de seguridad Gatekeeper de macOS.
¿Cómo OSX / DOK infesta tu Mac??
El paquete de malware está contenido en un archivo .ZIP llamado "Dokument.zip".
Una vez ejecutado, el malware primero se copia en la carpeta / Users / Shared / de su Mac antes de ejecutarse desde esa ubicación. Luego procede a instalar un nuevo certificado raíz que le permite interceptar su tráfico con un ataque man-in-the-middle. Para garantizar que el malware termine de instalar su carga útil antes de reiniciar, se agrega como elemento de inicio de sesión de macOS llamado "AppStore".
A continuación, se saluda al usuario con una ventana persistente diseñada para parecerse a una advertencia válida de macOS, como se ve en la captura de pantalla a continuación. La ventana informa al usuario de un supuesto problema de seguridad en su Mac que requiere una actualización. El mensaje evita que el usuario haga algo en su computadora hasta que acepte la solicitud de actualización falsa.
Al hacer clic en el botón Actualizar todo, aparece otro mensaje que le solicita su contraseña.
Una vez que se proporciona la contraseña, el malware obtiene privilegios de administrador en su Mac.
Usando esos privilegios, instala herramientas de línea de comandos que permiten la conexión a la web oscura. Luego cambia la configuración de red para redirigir todas las conexiones salientes a través de un servidor proxy malicioso que permite al atacante espiar sus comunicaciones.
Algunos mensajes de phishing utilizados para difundir el malware parecen dirigirse principalmente a usuarios en Alemania, pero eso no significa que solo los usuarios europeos estén en riesgo. Por lo que vale, el código de malware admite mensajes en alemán e inglés..
¿Qué daño hace OSX / DOK??
OSX / Dok redirige su tráfico a través de un servidor proxy malicioso, dando a los usuarios nefastos acceso a toda su comunicación, incluida la encriptada por SSL. Debido a que instala un certificado raíz comprometido en el sistema, el atacante puede hacerse pasar por cualquier sitio web para engañar a los usuarios para que proporcionen sus contraseñas para aplicaciones bancarias y servicios en línea populares.
Cómo saber si estás afectado?
Si recientemente abrió un archivo ZIP en un mensaje de correo electrónico que no esperaba, y ahora ve mensajes sospechosos que le solicitan su contraseña de Mac, es posible que su sistema haya sido infectado con OS X / DOK. Debido a que el malware redirige su tráfico de red a un servidor proxy no autorizado, debe aventurarse en Preferencias del sistema → Red.
Desde allí, seleccione su conexión de red activa en la columna de la izquierda (como Wi-Fi, Ethernet, etc.), luego haga clic en Avanzado botón. Ahora haga clic en el Proxies lengüeta.
Si Configuración automática de proxy se ha habilitado en la columna de la izquierda y el campo debajo del encabezado Archivo de configuración de proxy apunta a la URL que comienza con "127.0.0.1:5555", el malware ya está enrutando todo su tráfico a través de un servidor proxy falso.
Simplemente elimine esta entrada para evitar el enrutamiento del tráfico.
El malware instala dos LaunchAgents que comenzarán con el arranque del sistema:
- / Usuarios / SU NOMBRE DE USUARIO / Biblioteca / LaunchAgents / com.apple.Safari.proxy.plist
- / Usuarios / SU NOMBRE DE USUARIO / Biblioteca / LaunchAgents / com.apple.Safari.pac.plist
Si encuentra estos archivos en las ubicaciones anteriores, elimínelos inmediatamente.
Por último, verifique la existencia del falso certificado de seguridad denominado "Servidor seguro de validación extendida COMODO RSA CA 2" en la sección Sistema de la aplicación Keychain Access en su carpeta / Aplicaciones / Utilidades /.
Si el certificado está instalado en su Mac, elimínelo.
Cómo protegerte?
OSX / DOK es el primer malware de gran escala dirigido a usuarios de Mac a través de una campaña coordinada de phishing por correo electrónico.
El primer punto de ataque se basa en que el usuario abra un archivo adjunto creado con fines malintencionados en un mensaje de correo electrónico. No abra archivos adjuntos sospechosos, especialmente si el archivo adjunto se llama "Dokument.ZIP". Tenga cuidado con los mensajes de suplantación de identidad (phishing) que contienen GIF animados o aquellos relacionados con supuestas inconsistencias en sus declaraciones de impuestos.
Compruebe siempre los encabezados para confirmar la validez del remitente..
Si el archivo de malware ha encontrado su camino en su sistema, no interactúe con mensajes sospechosos que pretenden ser diálogos de macOS válidos, especialmente si solicitan su contraseña de root sin razón aparente. Apple nunca muestra mensajes de advertencia si su Mac requiere una actualización de software. Todas las actualizaciones de software de macOS se distribuyen exclusivamente a través de Mac App Store.
Si usa una aplicación antivirus, actualice su base de datos de firmas manualmente.
Al momento de escribir este artículo, ningún proveedor de antivirus ha actualizado su base de datos de firmas con malware DOK OS X, pero eso cambiará pronto. Este problema de malware se resolverá por completo tan pronto como Apple revoque el falso certificado de seguridad que su autor ha abusado para omitir la función de seguridad de Gatekeeper.
Fuente: The Hacker News, CheckPoint
