1074 1
1074 1

Patrick Wardle, de Objective-See, acaba de informar sobre lo que él cree que es nuevo malware ejecutado en macOS, que ha bautizado como OSX/MaMi.

Todavía no está claro cómo se propaga este malware. Sin embargo, el ejecutable no tiene firma, por lo que, en teoría, debería ser rechazado por la comprobación inicial de Gatekeeper, a menos que sea entregado como instalador adicional por un instalador más ingenioso que lo cuele a hurtadillas a un usuario incauto.

Su análisis muestra que el propósito principal de MaMi es secuestrar el servicio de nombres de dominio (DNS). Esto lo hace reemplazando /Library/Preferences/SystemConfiguration/preferences.plist y una autoridad del certificado raíz del sistema. Después de eso, podría usar ese certificado raíz para realizar un ataque de man-in-the-middle para robar contraseñas y otra información protegida.

La autoridad de certificación raíz sustituida es originaria de’ GreenTeam Internet, Ltd.’, en el país’ IL’, estado’ Gush Dan’, y localidad’ Hertzilia’, con un nombre común de’ cloudguard. me’.

El reemplazo Preferencias del sistema configura el servidor DNS (visto en el panel Red) en 82.163.143.135 y 82.163.142.137. Estos son propiedad de Daniel Engelman y Eldar Retter de GREENTEAM-NET en Tel-Aviv, Israel, y parecen ser los servidores DNS de greenteam.net. Esto hace posible que este malware tenga su origen en un ataque de phishing realizado con fines de espionaje.

También hay indicios de que el malware podría ser capaz de tomar capturas de pantalla, controlar los clics del ratón y ejecutar AppleScripts, aunque Patrick no pudo descubrir ningún código que usara esas características.

Para comprobar si tu Mac se ha infectado, puedes inspeccionar la configuración de DNS en el panel Red, buscar el certificado raíz de sustitución utilizando el acceso al llavero del Llavechain que apunta a su llavero del sistema y seleccionando /Library/Preferences/SystemConfiguration/preferences.plist.

En el momento en que escribió su informe detallado sobre MaMi, no apareció ningún software de detección de virus capaz de detectar este malware. Hasta que no sea posible, debes tener especial cuidado con cualquier correo electrónico, descargas web, etc. que intentes instalar en tu Mac.

In this article


Join the Conversation

1 comment

  1. erretxea

    No me ha quedado nada claro el sistema de comprobación que sugieres.