News

Mac Protector: ¡Registra tu copia ahora mismo!

Mis colegas Fabio Assolini y Vicente Diaz escribieron dos entradas en el blog sobre los antivirus fraudulentos para Mac OSX. Después de ejecutarlo en un ordenador de pruebas y jugar un poco con él, descubrí que había algo de información escondida en la ventana “About” (“Acerca de…”), como se puede ver abajo:

Me llamó la atención que ofrecieran “Servicio técnico”, pero sólo está disponible para los clientes registrados. También quería comprobar algunas cosas, como si es verdad que el programa “limpia” las amenazas de tu equipo cuando te registras, y si se detienen los avisos que dicen que tu equipo está “infectado”.

Comencé a examinar el binario del antivirus fraudulento con IDA Pro. El malware es un archivo de MAC OS, está creado con Intel y Objective-C.

Después de dar un vistazo a los nombres de las funciones, algo llamó mi atención:
__RegEngine_CheckKey__.

Lo primero que revisé fue el nombre de esta función, y encontré este código:

Lo primero que noté es una matriz que comienza en Dword_1413C. Moví mi ratón por encima dentro de IDA y el primer valor es 0, pero no aparecía nada más. Sin embargo, el índice está en uno (EBX), lo que me dio la idea de buscar algo de contenido interesante en esa matriz. Conseguí esto:

Como pueden ver, la primera dword está en 0, e IDA sólo muestra eso. Pero si estás acostumbrado, notarás que las otras dwords son direcciones dentro del programa. (Todas comienzan con 0x14, por ejemplo, la dirección de esta matriz).

Dentro de IDA, se pueden crear “offsets” fuera de esos dwords. Lo hice, y apareció esto:

Aparece la lista completa y de números de serie incrustados en el código fuente del programa (hardcoded).

Busqué en la ventana “About”, para ver si de verdad ofrecían servicio al cliente a los usuarios registrados, y resulta que sí lo hacen:

Como estaba registrado, traté de “limpiar” mi sistema infectado, y el programa comenzó a eliminar las amenazas detectadas (aunque eran falsas). El producto falso da la impresión de que funciona, lo que lo ayuda a engañar a los usuarios para que piensen que es un programa antivirus legítimo:

Puedes usar cualquiera de estos números de serie para registrar tu producto antivirus fraudulento, así las alertas dejarán de inundar tu pantalla y acabar con tu paciencia. Cuando lo hagas, puedes instalar una solución antivirus para tu Mac y limpiar tu ordenador como se debe.

Estos son los números de serie que puedes copiar y pegar en el producto fraudulento:

Para concluir, quiero decir que este antivirus fraudulento está bien diseñado, y el servicio de “limpieza después del pago” sí se realiza.

Los criminales hacen un gran esfuerzo para que la víctima piense que el producto funciona y vuelva a comprarlo en el futuro.

Mac Protector: ¡Registra tu copia ahora mismo!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada