Malware para OSX intenta robar comunicaciones cifradas

Check Point ha descubierto recientemente a OSX/Dok, que se está distribuyendo sobre todo a través de phishing por email y se trata del primer troyano a gran escala contra macOS (el sistema operativo para los ordenadores Mac). Los mensajes maliciosos van dirigidos sobre todo a usuarios europeos y tienen adjuntado un fichero comprimido ZIP con un malware que toma el control del sistema y permite a los atacantes interceptar el tráfico de Internet de la víctima para espiarla o suplantar sitios web. Obviamente, nada de esto pasa si el usuario no abre el fichero ZIP correspondiente al ataque de phishing.

Si el usuario es lo suficientemente incauto y abre el fichero ZIP (de nombre Dokument.ZIP), se mostrará un falso mensaje diciendo que el fichero no ha podido ser abierto debido a que está dañado, siendo ese el momento que aprovecha el malware para ejecutarse y mostrar otro mensaje emergente diciendo al usuario que le ha llegado una nueva actualización para macOS, invitándole a hacer clic sobre el botón Actualizar Todo (Update All). En caso de pulsar el botón, el malware pedirá la contraseña del usuario, cosa que culmina el proceso de infección en caso de suministrar la correcta.

Estamos ante un ataque de phishing normal basado en ficheros adjuntos, por lo que el usuario no queda infectado al abrir el mensaje malicioso, sino el fichero adjuntado. El código malicioso de Dok incluye un certificado falso que se salta el cribado realizado por GateKeeper. En caso de tener un macOS infectado por este malware, se puede seguir las siguientes instrucciones para eliminarlo:

  1. Hacer clic en el icono del Menú de Apple en la esquina superior izquierda de la pantalla.
  2. Hacer clic en las Preferencias del Sistema desde el menú desplegable.
  3. Hacer clic el Red (Network).
  4. Seleccionar la conexión a Internet actual (Wi-Fi o Ethernet).
  5. Hacer clic en Avanzado en la parte inferior derecha de la ventana.
  6. Seleccionar la pestañas de Proxies.
  7. Seleccionar Configuración Automática de Proxy.
  8. Borrar la URL mostrada como http://127.0.0.1.5555 con todo lo que le sigue después.
Configuración de proxy empleado por Dok, el primer troyano a gran escala contra Mac/macOS

Dok también instala dos LaunchAgents, los cuales tienen que ser encontrados y borrados. Estos son los ficheros con su ubicación.

/Users/_%User%_/Library/LaunchAgents/com.apple.Safari.proxy.plist
/Users/_%User%_/Library/LaunchAgents/com.apple.Safari.pac.plist

Por último, hay que borrar el certificado falso de Desarrollador de Apple siguiendo los siguientes pasos:

  1. Lanzar Finder (el explorador de archivos).
  2. Seleccionar Aplicaciones.
  3. Abrir la carpeta Utilidades.
  4. Doble click sobre Acceso a llaveros.
  5. Seleccionar el certificado con nombre COMODO RSA Secure Server CA 2.
  6. Hacer clic con el botón secundario del ratón sobre el mencionado certificado.
  7. Seleccionar Borrar Certificado desde el menú desplegable.
  8. Seleccionar Borrar para confirmar que se quiere borrar el certificado.

El tener un sistema operativo menos acosado por el malware no es excusa para bajar la guardia ante el malware, más si tenemos en cuenta que están surgiendo programas maliciosos realizados con tecnologías multiplataforma como Qt y JavaScript.

Fuente: Muy Seguridad | iMore | CheckPoint