contador gratis Saltar al contenido

OSX.Bella es un troyano que instala una puerta trasera en Mac

septiembre 19, 2020

Hace unos días se identificó un malware llamado DOK que se propaga vía e-mail pidiendo al destinatario el usuario y contraseña de la cuenta de administrador, y que tenía (Apple lo bloqueó) la peculiaridad de presentarse al sistema como confiable (firmado con certificado). Desarrolladores autenticados por Apple) y omita macOS Gatekeeper.

Después de DOK, ya hay una segunda pieza similar de malware en circulación, que los investigadores de seguridad han llamado “OSX.Bella”. El malware fue identificado por Adam Thomas, un investigador de Malwarebytes, y utiliza el mismo método que OSX.Dok al propagarse como un archivo adjunto a los correos electrónicos. Infecta la máquina del usuario objetivo e instala una puerta trasera (un mecanismo que permite a terceros ingresar al sistema) llamada “Bella”.

El malware crea el archivo /Users/Shared/AppStore.app muestra un mensaje que advierte al usuario que la aplicación está dañada (un truco para hacer el trabajo sucio y engañar al usuario). En lugar de mostrar una página (como lo hace OSX.Dok) pidiéndole que escriba el nombre de usuario y la contraseña del administrador, la aplicación se cierra y se borra después de unos minutos.

El malware no es particularmente peligroso, pero el script Python explotado potencialmente lo es. Los investigadores han descubierto que puede acceder a iMessages, infiltrarse en la función Find My iPhone en Mac, capturar contraseñas, datos del micrófono y capturar capturas de pantalla y películas desde la cámara FaceTime.

Apple ya ha bloqueado el certificado de desarrollador utilizado para crear el malware. Como siempre, el consejo es prestar atención al software descargado de fuentes desconocidas, las aplicaciones propuestas como archivos adjuntos a los correos electrónicos y preguntarse si es normal que la aplicación que está ejecutando requiera los derechos del usuario administrador.