News

Un Leopard, dos troyanos

El 28 de agosto se lanzó la última actualización para MacOS X: Snow Leopard. La versión 10.6 tiene una gran diferencia con las anteriores: por primera vez en la larga historia de Apple, la empresa incluyó un escáner antivirus.

Hace unos días se comenzaron a escuchar rumores sobre la función antivirus en el build de lanzamiento de Snow Leopard. Se publicaron en Internet capturas de pantalla mostrando una ventana en la que se detectaba uno de los troyanos para Mac OS X más conocidos. El efecto fue explosivo: hace no mucho tiempo, Apple hizo una declaración inconsistente sobre la necesidad (o, en realidad, la banalidad) de instalar programas antivirus en su sistema operativo.

Portavoces oficiales de la empresa se negaron a comentar sobre este asunto antes del lanzamiento de la versión 10.6, haciendo entrever que podrían decir más después del 28 de agosto. Y la fecha del lanzamiento ya llegó y se fue, y se han confirmado los rumores.

Los dedicados investigadores que lograron obtener el build 10a421A descubrieron que incluía este archivo:

System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist,

que contiene cinco informes muy simples de dos programas troyanos.

Esto es algo que Apple desarrolló por si mismo, y Clamav no tuvo nada que ver en ello, como algunos pensaban. Es muy claro porqué no se ha usado Clamav. Apple no quería que algo con una licencia GPL (que es el tipo de licencia que usa Clamav) estuviera en su código. Y Clamav no está relacionado con ninguna empresa antivirus que exista por ahora.

Intego, una empresa que desarrolla su propio antivirus para MacOS, realizó una investigación (en inglés) que destaca tres puntos clave:

El antivirus incluido en Snow Leopard sólo analiza los archivos que se han descargado por Safari, correo electrónico, iChat, Firefox, Entourage y unos cuantos buscadores más. No analiza los archivos de otras fuentes, como torrent o archivos ftp.

El antivirus sólo puede detectar dos troyanos, a pesar de que la industria antivirus conoce varias docenas de programas maliciosos que atacan el sistema operativo Mac.

El antivirus se actualiza mediante las actualizaciones estándares de Apple.

Muchos expertos han opinado que este tipo de antivirus no puede proveer protección apropiada y, peor aún, crea un falso sentimiento de seguridad entre los usuarios. Estoy de acuerdo por completo.

Este antivirus es un obvio análogo al Microsoft Removal Tool de Windows, y esto crea varios retos para Apple. Significa que Apple está compitiendo con otras empresas antivirus y ha entrado a formar parte de esta industria. Si la empresa ha hecho esto, debe tener los departamentos apropiados: un laboratorio de virus, un servicio de vigilancia, servicio técnico antivirus, etc. Por ahora Apple no cuenta con nada de esto, pero sí tiene su propio “antivirus”.

¿Será que Apple está listo para seguir los pasos de Microsoft, que acabó involucrándose en la industria antivirus y dedicando mucho tiempo y recursos tanto para detectar los virus como para modificar otros de sus productos con el propósito de resolver problemas de seguridad? No lo creo.

Además, la aparición de un antivirus en MacOS puede incitar a los escritores de virus a crear grandes cantidades de programas maliciosos para esta plataforma. Es como mostrar un trapo rojo a un toro, y alguien ya ha comenzado a agitarlo.

Por un lado, Apple no está ofreciendo a sus usuarios ninguna protección real con su antivirus. Pero por otro lado, no sólo ha entrado a competir con empresas antivirus, sino que también se ha unido a la carrera contra el cibercrimen. Por ahora me parece que Apple se ha metido en una situación muy poco envidiable.

P.D. Puedes conseguir la versión beta de Kaspersky Anti-Virus para MacOS aquí

Un Leopard, dos troyanos

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada