El malware para Mac se multiplica: nuevo troyano enmascarado en un instalador de Flash

Intego ha hecho público un boletín de seguridad al respecto de una muestra localizada de un nuevo Troyano enmascarado en un instalador falso de Flash que un usuario descargó de un sitio maliciosamente preparado. Flashback, un troyano que puede encontrarse en internet, se enmascara como un...

Intego ha hecho público un boletín de seguridad al respecto de una muestra localizada de un nuevo Troyano enmascarado en un instalador falso de Flash que un usuario descargó de un sitio maliciosamente preparado.

Flashback, un troyano que puede encontrarse en internet, se enmascara como un instalador de Flash de Adobe que se ofrece en diferentes sitios web. Es relativamente fácil durante los últimos días ver una sospechosa campaña publicitaria que ofrece «una versión actualizada de Flash» en múltiples sitios, incluidos y especialmente en sitios de descargas y pornográficos.

Como Mac OS X 10.7 Lion no incluye el plug in de Flash, la campaña publicitaria intenta captar a usuarios que no tienen instalado este plug in y que desconocen que el único sitio seguro de donde debe ser descargado es desde Adobe.

El problema viene cuando el usuario tiene activado en Safari la opción de abrir los contenidos marcados como seguros (algo que Apple debería haber retirado hace mucho tiempo del navegador por la cantidad de problemas de seguridad que implica). Safari considera este paquete como seguro al llevar las extensiones .pkg o .mpkg y entonces comienza la fiesta.

El troyano, durante el proceso de instalación desactiva algunos software de seguridad y después borra el paquete de instalación. El instalador añade una librería de carga dinámica (.dyld) y comienza a inyectar código malicioso en todas las aplicaciones que se abren. El código inyectado se encuentra en un archivo en tu_usuario/librería/Preferencias/Preferences.dylb, que conecta con un servidor remoto y envía información sobre el Mac infectado incluida la dirección MAC del interfaz de conexión. Esto permite en el servidor remoto saber si hay un Mac infectado.

Intego ha actualizado su sistema de detección para eliminar este malware, pero por seguridad, es conveniente para todos los usuarios eliminar la apertura automatizada de archivos desde Safari y descargar el software desde solo y exclusivamente, el correspondiente desarrollador, en este caso, Adobe.

In this article


Join the Conversation