Un nuevo malware para macOS quiere leer su tráfico HTTPS

0

Los expertos en seguridad en CheckPoint informó hace unas horas sobre el descubrimiento de nuevo malware para macOS llamado bajo el nombre OSX / Dok . Este malware es relativamente nuevo, afecta a todas las versiones de este sistema operativo, utiliza una firma autenticada y verificada por Apple y, además, ningún antivirus de VirusTotal es capaz de detectarlo en la actualidad.

Aunque esto aún no se ha confirmado, se cree que este malware puede haber llegado a los usuarios a través de una campaña de spam a gran escala. Este software malicioso tiene como víctima a los usuarios de Europa, y el mayor número de infecciones se han detectado en Alemania.

El correo electrónico utilizado para llevar a cabo estos ataques informáticos adjunta un archivo llamado Dokument.zip firmado con la verdadera firma que hemos dicho antes. Cuando la víctima intenta descomprimir el archivo, el malware se copia automáticamente en la carpeta / Users / Shared / y se ejecuta desde allí con los 3 comandos siguientes:

  • chmod, para dar permisos de ejecución de malware.
  • rm -fr, para eliminar el archivo Dokument.app original.
  • Dokument, para ejecutar automáticamente.

Una vez que se ejecute el malware, se mostrará un mensaje en el sistema de la víctima que indica que se han detectado graves fallos de seguridad y que se debe instalar un parche de seguridad . Al intentar instalar este parche, el malware le pedirá al administrador la contraseña.

 malware macOS actualización de seguridad falsa "width =" 655 "height =" 432 "srcset =" https://www.redeszone.net/app/uploads/2017/04/malware-macOS 655w , Https://www.redeszone.net/app/uploads/2017/04/malware-macOS-falsa-security-update-300x198.png 300w, https: //www.redeszone.net/app/uploads/2017/ 04 / malware-macOS-falsa-actualizacion-de-seguridad-504x332.png 504w, https://www.redeszone.net/app/uploads/2017/ 04 / malware-macOS-fake-security-update-177x117.png 177w, https://www.redeszone.net/app/uploads/2017/04/malware-macOS-falsa-update-configuration.png 675w "sizes =" (max-width: 655px) 100vw, 655px

Cuando la infección está completa, el hacker tiene acceso completo al sistema de la víctima, incluso al tráfico cifrado SSL, forzando todo el tráfico a través de un proxy hackeado. Para ello, utiliza un certificado firmado por Comodo con el que realizar, en términos generales, un ataque MITM .

Este malware también instala otros paquetes, como brew, utilizado para redirigir el tráfico a través de la red Tor. Una vez que el tráfico se reenvía, el malware se elimina del ordenador.

Cómo desinfectar nuestros macOS de esta amenaza y cómo protegernos de ella

Como hemos dicho, este malware está llegando a los usuarios a través de correo electrónico, por lo que el primer paso para protegernos de él es evitar la descarga y ejecución de cualquier tipo de archivo que recibimos a través de nuestro correo . Además, como ningún software de seguridad lo reconoce, no nos protegerán.

En caso de estar infectado por este malware, como hemos dicho, una vez que termine de redirigir todo el tráfico, se elimina automáticamente, por lo que el siguiente paso será comprobar los ajustes de proxy de nuestro Sistema, eliminando Cualquier valor sospechoso que pueda aparecer en él, así como certificados que no reconozcamos y que están instalados en el sistema, como el certificado de Comodo que podemos ver en el sitio web de CheckPoint

¿Qué piensas de esta amenaza? ¿Crees que macOS ya no es un sistema operativo seguro?