Seguridad

Malware para Mac intercepta tráfico cifrado para publicidad

Ha sido detectado un nuevo tipo de adware para Mac que emplea un ataque Man in the Middle (MitM) en la máquina infectada para insertar Javascript en las páginas



El investigador Adam Thomas de Malwarebytes Labs ha descubierto un malware bautizado como OSX.SearchAwesome, el cual está siendo utilizado con fines publicitarios (adware). A diferencia de otros adware que insertan publicidad con plugins de navegación o modificando el tráfico HTTP, este nuevo tipo de malware inserta su publicidad tanto en páginas HTTP como HTTPS en cualquier navegador que utilice los certificados del sistema.

Para el funcionamiento de esta característica, OSX.SearchAwesome hace uso de un programa en Python llamado mitmproxy, el cual permite modificar y analizar las peticiones realizadas. Este programa, que normalmente se utiliza para monitorización y pruebas, ha sido empleado esta vez con fines maliciosos. Durante la instalación del malware se solicita permisos tanto para insertar el certificado a nivel de sistema como para modificar los configuración de red, lo cual debería alertar al usuario de los peligros del software que se está instalando.


Una de las ventanas mostradas por el malware durante su instalación. Fuente: Malwarebytes.



Aunque en un principio puede parecer que el malware no es tan peligroso, al cargar la publicidad desde un servidor Javascript externo, en cualquier momento podría emplearse para robar Cookies, Phishing, u otro tipos de actividad delictiva. Los navegadores que no empleen los certificados del sistema deberían encontrarse a salvo de este malware.

Para comprobar si se está infectado por esta amenaza, puede verificarse si se encuentra presente en el sistema cualquiera de las rutas empleadas por el malware, como puede ser ‘/Applications/spi.app. En teoría puede desinstalarse utilizando los medios incluidos por el propio malware (el cual efectivamente se borra), pero no se recomienda de forma general, y en este caso además aprovecha para enviar información sobre el usuario al servidor del atacante. Aunque el desinstalador revierte los cambios realizados por el malware, mantiene el certificado de mitmproxy, por lo que debe borrarse manualmente.

Los adware siguen siendo una amenaza presente no sólo en sistemas Microsoft Windows, sino que también afecta a otros sistemas, como en este caso Mac OS. Aunque este tipo de malware no parece a simple vista tan grave, puede derivar en otros tipos de amenazas debido a la publicidad intrusiva, además de afectar al rendimiento y el uso de la máquina.

Juan José Oyague
joyague@hispasec.com

Más información:






Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.