Si eres usuario de MacOS X mira el ordenador por unos segundos y pregúntate cuán seguro consideras que es. Los usuarios de Apple, aunque sabemos que no somos objetivo de tantas amenazas como los de Windows, por poner un ejemplo, cada día somos más conscientes de que también hay campañas de ciberdelincuentes, así como malware especialmente dirigido a nuestros sistemas. Lo malo es que a veces se nos olvida un poco, y esta es una buena semana para recordarlo, por dos poderosas y peligrosas razones.
Por una parte, ZDNet informa sobre un nuevo ransomware, denominado EvilQuest, que ataca específicamente a ordenadores con MacOS X. Y es, de los vistos hasta la fecha, el más peligroso, ya que no solo lleva a cabo las acciones comunes en un malware de este tipo, es decir, cifrar los archivos del usuario y posteriormente exigir una recompensa. No, por lo que cuentan los investigadores que lo han encontrado y analizado, su comportamiento es mucho más complejo y peligroso.
Para empezar, una de las primeras operaciones que realiza es instalar un keylogger en el sistema infectado, comprometiendo así no solo la información guardada en el disco, sino también las operaciones llevadas a cabo por el usuario en Internet, ya que todas las pulsaciones de teclas quedan registradas, incluidas credenciales de acceso, datos de pago, etcétera. Adicionalmente, también realiza traspaleo de shell, otorgando al atacante acceso completo a todas las acciones llevadas a cabo por el usuario en la terminal de MacOS X.
Además, y de manera complementaria al cifrado de los archivos, analiza el contenido del disco en búsqueda de ficheros relacionados con ciberdivisas y, en caso de encontrarlos, los exfiltra para intentar robarlas. Aún hay más, también modifica el sistema de actualizaciones de Google Chrome, con la intención de intentar garantizar su persistencia en el sistema, aún cuando el resto del malware sea eliminado de MacOS.
Y lo que es peor, todas las sospechas apuntan a que, aunque la víctima termine por pagar el rescate, muchos de los elementos de EvilQuest permanecen en la instalación de MacOS X, lo que permite al atacante mantener ese sistema bajo su control y, por lo tanto, emplearlo para otros fines, repetir el ataque y exigir un nuevo rescate, etcétera.
Su vector de difusión son las aplicaciones piratas, los investigadores lo han detectado en versiones no oficiales de Little Snitch, un popular firewall para MacOS X, Mixed in Key, una aplicación para realizar mezclas musicales, y un instalador llamado Google Software Update que, obviamente, no proviene de la empresa del buscador.
Vulnerabilidad de día cero en MacOS X
Y por si el ransomware fuera poco (que no lo es, desde luego), también se ha sabido de una vulnerabilidad crítica y de día cero que afecta al sistema operativo de Apple, más concretamente a su navegador web, Safari. Y el problema es que no se trata de un problema nuevo…
El investigador que lo encontró, Jeff Johnson, informó a Apple sobre este problema de seguridad del navegador web de MacOS en diciembre del año pasado, alertando de que afectaba a MacOS X Catalina. Sin embargo, y aunque desde entonces Apple ha publicado varias actualizaciones de seguridad para el sistema operativo, ninguna de ellas ha ido dirigida a solventar esa vulnerabilidad, lo que hace sospechar a Johnson que no veremos una solución al mismo en un futuro cercano, e incluso teme que el problema se reproduzca en MacOS X Big Sur.
El problema afecta al sistema de protección de privacidad puesto en marcha por Apple en MacOS X Mojave, un sistema de seguridad basado en las firmas digitales de las aplicaciones, y que no llevaría a cabo una comprobación tan exhaustiva como debiera, especialmente si los binarios analizados se encuentran en su lista de excepciones, es decir, aquellas que se consideran seguras sin necesidad de comprobaciones adicionales. Un modelo de lista blanca que, según el investigador, supone un importante problema para la seguridad del sistema.
En concreto, la amenaza que ha detectado es que un atacante podría diseñar un clon de Safari que, de ser instalado por el usuario pasaría sin problemas el control del usuario y, al suplantar al navegador legítimo de MacOS X, obtendría un acceso completo al sistema de archivos del equipo atacado, una amenaza singularmente crítica, ya que desde ese punto es relativamente sencillo escalar privilegios hasta obtener acceso completo al sistema.
Para sufrir un ataque de este tipo, la víctima tendría que descargar e instalar el clon de Safari de una fuente no oficial, algo que en principio no parece sencillo, pero que podría lograrse, por ejemplo, mostrando a todos los usuarios de Safari una web en las que se indica que tienen que actualizar su navegador y llevándolos a la descarga de la versión malintencionada del mismo. Son necesarios cambios en el sistema de control de seguridad y privacidad de MacOS X pero, hasta el momento, y desde hace más de seis meses, Apple no parece haber hecho nada al respecto.
Imagen: Axelle B.
La entrada MacOS X: una mala semana en cuestión de seguridad es original de MuySeguridad. Seguridad informática.