contador gratis Saltar al contenido

DOK es el primer malware peligroso para Mac, supera a Gatekeeper y antivirus

septiembre 19, 2020

Un equipo de investigadores de ciberseguridad ha identificado malware de Mac que se dice que es capaz de apuntar a todas las versiones de macOS y ha sido firmado con un certificado de desarrollador autenticado por Apple. El malware, explica MacRumors, citando a su vez el sitio The Hacker News, se ha llamado “DOK”, se distribuye con técnicas de phishing por correo electrónico y, según los investigadores de CheckPoint, se dirige específicamente a los usuarios de Mac.

El software malintencionado convence al usuario de que especifique el nombre de usuario y la contraseña del administrador para instalar un certificado raíz de confianza (los que se utilizan para establecer una cadena de confianza que a su vez se utiliza para verificar otros certificados firmados por raíces de confianza, por ejemplo, para establecer una conexión segura a un servidor web). La instalación del certificado le permite tener acceso a todas las comunicaciones entre el host de Mac e Internet, incluido el tráfico de conexiones cifradas que utilizan el protocolo SSL.

En el correo electrónico falso enviado a los usuarios, se intenta convencer al destinatario de las “inconsistencias” en su declaración de impuestos, pidiendo a la víctima que descargue un archivo ZIP que activa el malware. MacOS Gatekeeper, el mecanismo que protege el sistema al evitar la ejecución de aplicaciones que no son de confianza, no puede reconocer la aplicación en cuestión como maliciosa ya que se creó con un certificado válido de un desarrollador; el malware se copia a sí mismo en la carpeta / Users / Shared / y crea un elemento de inicio de sesión para cargarse cada vez que se inicia el sistema.

El malware en este punto presenta un mensaje de seguridad falso al presentar una ventana que intenta engañar al usuario indicando que existen actualizaciones del sistema y que para ejecutarlas es necesario indicar la contraseña del usuario administrador. Al ejecutar la actualización falsa, el malware completa el control del sistema obteniendo los privilegios deseados, modifica la configuración de la red para secuestrar conexiones a través de un proxy, instala herramientas adicionales que permiten realizar un ataque “man in the middle” ( un ataque en el que una herramienta o un ciberdelincuente se cuela entre la víctima y el servidor) controlando todo el tráfico de red entrante / saliente.

En el momento de redactar este informe, Apple aún no ha revocado el certificado que le permite instalar el certificado pero obviamente es solo cuestión de horas. Ésta no es una amenaza seria. El consejo es no iniciar aplicaciones adjuntas a mensajes de correo electrónico y, sobre todo, no indicar contraseñas de software creado por completos desconocidos. Aquí están nuestros viejos y siempre buenos consejos sobre cómo mantener su Mac segura.