Nueva Familia De Malware Para MacOS Utiliza Los Resultados De Búsquedas En Google Para Su Propagación

Expertos de seguridad de Intego advierten de una nueva amenaza detectada «in the wild». Se trata de un malware que se camufla en instaladores de Adobe Flash Player y que utiliza los resultados de búsqueda de Google para su propagación.

Todo indica que puede tratarse de una variante del ya conocido OSX/Shlayer.

Una vez descargado y ejecutado en la máquina de la víctima, el malware muestra un instalador de Adobe Flash Player fraudulento que da instrucciones al usuario sobre cómo instalarlo. Si la víctima sigue las instrucciones, un script en «bash» volcará la carga maliciosa en la máquina. Además, para evitar la detección, se ocultarán todos los ficheros generados en este proceso. Todos menos el instalador de Flash Player firmado por Adobe, de manera que evita las sospechas a la víctima.

Script en bash. Fuente: https://www.intego.com

Cuando el malware ya está implantado en el sistema, los atacantes tienen la capacidad de descargar malware adicional o ejecutar campañas de adware desde sus servidores de control y comando.

Como mecanismo de propagación, los atacantes han usado técnicas de SEO que colocan los enlaces de descarga maliciosos en los primeros resultados de búsqueda. Para ello utilizan los títulos exactos de vídeos de YouTube populares para colocar sus enlaces entre los primeros resultados. La víctima que visite estos enlaces llegará a través de numerosas redirecciones a la descarga del software malicioso.

Sitio malicioso. Fuente: https://www.intego.com

Para saltar las protecciones incluidas en el sistema, muchos atacantes utilizan cuentas de desarrollador de Apple (propias o robadas) para poder firmar su software. Sin embargo, los desarrolladores de esta nueva variante utilizan ingeniería social para que sea el usuario el que desactive la protección instalando la aplicación con el botón derecho.