Nuevo malware para Mac ha infectado más de 30 mil equipos y Apple no sabe por qué

Nuevo Troyano para MacOS

Se ha hablado bastante, incluso en la prensa generalista sobre un nuevo y “misterioso” tipo de malware para macOS, que ha sido clasificado como “high stealth” y que tiene despistada incluso a Apple.

Según el informe del análisis llevado a cabo por Red Canary, estos son los hechos principales.

El troyano se hace pasar por una actualización de software mediante publicidad engañosa. El texto del anuncio dice algo similar a “No se puede mostrar el contenido porque tu versión de xyz está desactualizada. Haz clic aquí para actualizar.” El hacer clic inicia la descarga de un fichero llamado update.pkg que instala el malware en el equipo.

El software ha sido clasificado como “high stealth” (hiper oculto) porque la descarga no incluye nada dañino per se y el software es capaz de desinstalarse. Si el malware detecta la presencia del fichero ~/Library/._insu  , se desinstala automáticamente.  Esto podría ser una forma de que el atacante se protegiese a sí mismo durante el desarrollo o una forma de evitar volver a infectar máquinas ya infectadas, una vez que el malware haya cumplido con su misión (que aún no sabemos cual es).

De momento, lo único que hace en una máquina infectada es aplicar técnicas ya conocidas, como crear un “launchagent” para asegurar que el software arranca cada vez que se reinicia el mac.

¿Apple no sabe para qué es?

Esta es una frase que se ha repetido en varios artículos, posiblemente como click bait, un poco como lo de “high stealth”. Apple no sabe exactamente lo que pretenden los atacantes, de la misma manera que yo no sé exactamente qué quiere ese señor armado con una pistola que está intentando tirar la puerta de mi casa. Lo que sí sé, es que no es nada bueno.

Código específico para el chip M1

A cada hora, el malware descarga un fichero de un servidor de aws y sigue las instrucciones en dicho fichero. De momento son sólo comandos shell sin mayor relevancia. Sin embargo, esto quiere decir que cualquier comando que los atacantes situen en dicho servidor, todas las máquinas infectadas lo seguirán.

Hasta que no lleguen las instrucciones finales, no sabremos exactamente cuál es el objetivo del malware. Lo que sí es notable es el hecho de que el código ha sido adaptado para la arquitectura M1 ARM64, que es sumamente reciente. Esto indica que los atacantes saben lo que hacen y son relativamente sofisticados en sus conocimientos y que por lo tanto el ataque debe de ser tomado en serio.

¿Qué hace Amazon?

Como el centro de control del malware está alojado en AWS, es casi seguro que el servidor o los servidores, así como las cuentas asociadas ya hayan sido bloqueados. AWS es una opción habitual para este tipo de cosas y Amazon tiene un equipo de seguridad muy amplio para cortar estas cosas de raíz.

Sin embargo, si están usando un IP que fue asignada a una máquina de AWS, nada les impide a los atacantes el “llevarla” a otra parte de la red. Si están usando DNS, pues más de lo mismo. De todas formas siempre se puede “anular” la dirección IP.

Lo que sí es cierto, es que un centro de comando y control centralizado, como parece ser el caso, es un punto débil y puede ser destruido para descabezar el ataque. Ya veremos.

¿Qué puedes hacer tú?

¡No seas tan ingenuo, McFly!

Si estás preocupado, una opción es crear el fichero  por tu cuenta, con el siguiente comando desde Terminal:

touch ~/Library/._insu

También puedes dejar de hacer clic en alertas de sitios guarros, por mucho que te digan que “En tu zona hay 543 mujeres solteras buscándote”. ¡No seas ingenuo, McFly! Como mucho, 2 ó 3, pero quinientas, ni de broma.

También puedes hacer lo que todo desarrollador debe de hacer: aprender más de ciberseguridad. El crear software seguro no es un plus, es una obligación de todo desarrollador. No podemos seguir desentendiéndonos  de las consecuencias de la seguridad, o falta de, en nuestro software.

Si quieres aprender todas las herramientas y metodologías que utilizan los expertos de ciberseguridad para proteger cualquier empresa o desarrollo, descubre el Full Stack Cybersecurity Bootcamp de KeepCoding, con el cual aprenderás todo esto en menos de 7 meses.

Acerca de Fernando Rodriguez

Fundador & Editor Jefe de justcodeit, Fernando Rodríguez (@frr149 & Linkedin) es desarrollador & un experto en la enseñanza de máxima calidad en programación y desarrollo para dispositivos iOS, Cocoa Touch, Objective C, Swift, Python, entre otros, aunque su mejor carta de presentación, es la opinión de sus alumnos: http://keepcoding.io/es/testimonio/ CLO en KeepCoding & Arunovo. Instructor de iOS Avanzado del Big Nerd Ranch. Profesor Asociado de la U-tad, autor invitado de revistas como iPhoneWorld, Applesfera.com & ponente habitual en conferencias dentro y fuera de España (iOSDevUK, CodeMotion, BCNDevCon, etc). En sus vidas anteriores fue un nerd de Python y Django, mago de Smalltalk, y para su pesar, galeote de C++ y un gran cocinero.

Share this:

Leave a comment