News

Más antivirus falsos para Mac: esta vez atacan en masa

Cuando mi colega Fabio escribió sobre una campaña de malware fraudulento que atacaba a los usuarios de Mac, comencé a investigar un poco sobre el origen de estas campañas. Fue interesante ver que los analistas obtenían sus muestras buscando entre las imágenes de Google. Búsquedas diferentes siempre dirigían a los mismos resultados, lo que hizo que me preguntara: ¿Cuántos términos de búsqueda estarán alterados?

Era una pregunta interesante. Pero encontré la respuesta mientras leía otra investigación muy interesante de Unmask Parasites. Les recomiendo que, si pueden, lean la entrada, que está en inglés. En esencia, explica cómo miles de sitios han sido infectados con un método muy efectivo, que hace que los criminales puedan alterar los resultados de las búsquedas de imágenes. ¿Será que este método está relacionado con los antivirus fraudulentos para Mac?

Contacté al autor de la entrada, quien tuvo la gentileza de ayudarme a realizar mi propia investigación (¡Bravo, Unmask Parasites!). Estos son los resultados:

Cuando un usuario se conecta a un sitio infectado, lo redirigen a otro sitio, pero esto sólo se logra si se utiliza un motor de búsqueda como Google como referente en los parámetros:

hxxp://kdsqXXXXe.ce.ms/in.cgi?2&seoref=www.google.com&meter=$keyword&se=$se&ur=1&HTTP_REFERER=http%3A%2F%2FmatcXXXXnt.com.do%2F&default_keyword=default

Después, aparece un HTML malicioso con un código Javascript ofuscado; en este caso, explota la Vulnerabilidad de Validación HPC URLHelp Center URL (CVE-2010-1885). Si logra hacerlo, te redirigen a otro sitio para que descargues un archivo .jar que se hace pasar por un videojuego:

kniXXXXng.info/games/mario.jar

Por último, el archivo .jar intenta descargar un archivo .avi desde otro servidor:

216.XXX.XXX.202/pub/new.avi

Detectamos este archivo como Trojan.Win32.Delf.arsr. Pero lo más interesante es lo que ocurre cuando se inicia la cadena de infección con un usuario de Mac. En este caso, la táctica varía: Recibes un HTML con un javascript ofuscado con el siguiente resultado.

¡Eureka! Encontramos nuestra campaña de antivirus fraudulentos. El HTML se hace pasar por el resultado de un antivirus que se ejecuta en una interfaz de búsquedas. Si pulsas en “Eliminar Todas” (Remove All), descargas un archivo zip con un nombre aleatorio desde el mismo servidor. Estos archivos son variantes de los binarios del antivirus fraudulento del que mi colega Fabio habló en su entrada.

En este caso, la infección se realiza por medio de ingeniería social, ya que debes pulsar en el botón e instalar el archivo descargado. Pero la experiencia nos ha enseñado lo efectivo que es este método. ¡Cuidado! esta vez la campaña es masiva y los criminales pueden cambiar sus métodos de infección para lanzar un exploit, como hacen en Windows. Protege tu Mac, ¡Los buenos tiempos quedaron atrás!

Más antivirus falsos para Mac: esta vez atacan en masa

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada