¡Por su cuota de mercado! Es una respuesta fácil, pero no es la única.
En 2011, se estimaba que Apple tenía una cuota de más del 5% en el mercado mundial de ordenadores de escritorio y portátiles. Esta era una significativa barrera que había que romper. La cuota de Linux se mantiene en menos del 2%, y la de Google ChromeOS es mucho menor. Este pico alcanzado después de 15 años coincidió con la primera explotación del agresivo mercado de antivirus fraudulentos (FakeAV/Roqueware) que apunta a los ordenadores Apple, que descubrimos y publicamos en abril de 2011: Una rara campaña de publicidad para antivirus fraudulentos y en mayo de ese mismo año: Campaña de malware fraudulento amenaza a los usuarios de Mac, lo que ya no parece ser una mera coincidencia. Asimismo, es posible que esta demora de los programas maliciosos para Apple no tenga nada que ver con que no había exploits para Apple, o con que el sistema Mac OS X está especialmente fortalecido. El “Mes de los virus para Apple” en 2007 demostró que el sistema Mac OS X y el código de soporte están llenos de vulnerabilidades. Safari, QuickTime y otros programas en dispositivos Apple suelen ser vulnerados en los concursos pwnage, pero los ciberdelincuentes no le dieron importancia sino hasta el año pasado.
Hasta ahora, todavía no sabemos quién es responsable del fraudulento programa Flash (Flashfake), así que no tenemos certeza si son los mismos que de los programas antivirus fraudulentos para Mac OS X. La suposición de que se trata de ciberdelincuentes de Europa oriental es, por el momento, una alternativa bastante posible. Existen en esta región grupos conocidos por lucrar con avisos colocados en el tráfico secuestrado desde los motores de búsqueda. Sin embargo, no creemos que ninguna información confidencial esté en riesgo. Las URLs de propagación del exploit que conocemos sólo apuntan a los usuarios de Mac. Estos factores limitan las necesidades técnicas y operativas de una pandilla de ciberdelincuentes con fines de lucro.
De cierta forma, su actividad se parecía a la de los grupos Koobface o Tdss. No han cometido delitos financieros relevantes como para atraer la atención de las autoridades, y sus programas maliciosos contienen hooks y otros códigos para cometer sofisticados delitos bancarios en vez de secuestrar el tráfico desde los motores de búsqueda, pero es muy posible que intentaran obtener una multitud de pequeñas ganancias monetarias. Por otra parte, por suerte, Apple no les ha dado suficiente tiempo a estos rufianes para prepararse. Esta puede ser una actividad muy lucrativa, pues se estima que los dueños de Koobface se esfumaron con millones en los bolsillos después de que Facebook neutralizara sus operaciones como resultado de una investigación. Pero según los registros de los dominios que hemos analizado, estos individuos no son muy públicos y ocultan su identidad mientras secuestran el tráfico desde los motores de búsqueda. Estos programas maliciosos inyectan varios hooks en las aplicaciones en ejecución, muy similar a lo que hacen ZeuS, SpyEye y otros programas espía. Si se los usara para cometer delitos bancarios, los dueños de esta red zombi tendrían que recurrir a mulas de dinero y otros cómplices para lavar el dinero que roban, lo que haría que el grupo creciera, atrayendo así la atención de las autoridades.
En la parte tecnológica, Java es una pieza importante del rompecabezas. Aunque el troyano se llama Flashfake, porque a los usuarios se les convencía para que instalaran un programa malicioso que aparecía como una actualización de Adobe Flash, sus últimas versiones se instalaban a través de lado del cliente Java.
Se apuntó a tres vulnerabilidades con exploits dirigidas a lado del cliente, ninguna de las cuales era Día-Cero, lo que parece haber dificultado su adquisición. Además, esta combinación fue muy conveniente para sus operadores. Resulta interesante notar el tiempo transcurrido desde la actualización original de seguridad de Oracle Java hasta la actualización de seguridad de Appla Java, y en qué momento aparece la publicación de la investigación de vulneración de la seguridad. Y, ¿cuándo se publicaron los módulos del exploit de código abierto Metasploit que amenazaban a las correspondientes vulnerabilidades en Java? Los periodos de tiempo pueden parecer alarmantes. No se trata de exploits Día-Cero, pero Apple simplemente no ha publicado los respectivos parches, dejando a sus clientes expuestos al equivalente de los exploits conocidos Día-Cero.
2012-02-15 Oracle
publica los parches para la vulnerabilidad Atomic Reference Array
2012-03-10 Primer Itw exploit dirigido a la vulnerabilidad.
2012-03-30 Los desarrolladores de Metasploit
añaden el módulo del exploit Java atomic reference array
2012-04-03 Apple parcha su código
2011-05-12 Se le informa al fabricante
2011-11-18 Oracle parcha su Java SE
2011-11-30 Los desarrolladores de Metasploit añaden el módulo “Rhino exploit”
Krebs informa sobre un sitio operativo BlackHole con el
nuevo exploit Java
2012-3-29 Parche de Apple.
“Deserialización de objetos del calendario”
2008-08-01 Se informa a Sun sobre la primera instancia de la vulnerabilidad
2008-12-03 Sun parcha su código
(se quita enlace de Sun)
2009-05-15 Apple parcha el código de MacOSX
2009-06-16 Los desarrolladores de Metasploit añaden el exploit Java deserialization
También aparece en esta lista un débil exploit descrito como un applet firmado usado como truco de ingeniería social.
Prefiero llamarlo la apuesta del “usuario terriblemente confundido al que se le presenta el diálogo ‘¿Quieres confiar en este applet?’ y ejecutará cualquier cosa que le presentes”. Comenzó como parte del módulo del exploit Metasploit el 27-01-2012. Básicamente, le presentan al usuario un archivo que él cree es una actualización de Java proveniente de la misma Apple Inc, en la que confía para ejecutar cualquier acción en su equipo. Después, el descargador se comunica con un par de sitios para registrar y descargar nuevos componentes de Flasfake. A su vez, estos componentes capturan el UUID del sistema y el timestamp, para después autogenerar mediante un algoritmo codificado una serie de dominios C2, a la vez que mantiene una lista de dominios con hard-code. Un par de los más recientes componentes se inyecta en los procesos en ejecución en el sistema, bloqueando la funcionalidad de los programas y secuestrando el tráfico, de forma muy similar a los anteriores programas maliciosos TDS.
Masiva explotación de OS X. ¿Por qué ahora?