El malware OSX / Linker aprovecha las vulnerabilidades de Mac

Los hackers han explotado una vulnerabilidad en el sistema MacOS, en particular Gatekeeper (que paradójicamente debería proteger a los usuarios verificando la firma digital de las aplicaciones) y están desarrollando activamente malware que lo viola.

El nuevo malware se denominó OSX / Linker y se conectó al mismo grupo que ejecuta el adware Surfbuyer, según una encuesta realizada por Joshua Long, analista jefe de seguridad del fabricante de software de seguridad Intego para Mac.

Cómo fue atacado Gatekeeper

El nuevo malware OSX / Linker utiliza una falla de seguridad presente en Gatekeeper, el sistema de seguridad macOS que escanea y aprueba las aplicaciones en ejecución descargadas de Internet.

A finales de mayo de 2019, el investigador de seguridad Filippo Cavallarin reveló un error en Gatekeeper que habría permitido que un código malicioso descargado de Internet eluda el proceso de escaneo de Gatekeeper.
El truco consistía en crear un enlace simbólico dentro de un archivo de almacenamiento y el enlace simbólico a un servidor NFS (Sistema de archivos de red) controlado por piratas informáticos.

Cavallarin ha descubierto que Gatekeeper no escanea este tipo de archivos y permite a los usuarios realizar enlaces simbólicos. Si los enlaces simbólicos son maliciosos, los atacantes podrían ejecutar código malicioso en los sistemas macOS de las víctimas.

Se incluyen todas las versiones de macOS, incluida la última actualización 10.14.5, y Apple aún no ha lanzado un parche hasta la fecha, un mes completo después de la divulgación pública de Cavallarin.

Antivirus Mac descargar

Pero si Apple no parecía preocuparse por este error, seguramente los escritores de malware sí lo hicieron, y a principios de junio se descubrieron muestras de malware que probaban varios métodos para abusar del desvío Gatekeeper para la distribución de malware.

Los ejemplos de malware parecían pruebas, pero estaban firmados con certificados utilizados previamente por la banda de adware Surfbuyer.

Todas las muestras del malware Linker se han disfrazado como instaladores de Adobe Flash Player, como ya hemos dicho muchas veces en el sitio, es una de las formas más comunes en que los creadores de malware engañan a los usuarios de Mac para instalar malware o anuncios.

Esta no es la primera vez que Intego descubre que el malware abusa de un bypass de Gatekeeper para evitar las defensas de MacOS. En febrero de 2018, Intego también descubrió que una nueva versión del malware OSX / Shlayer estaba abusando de un bypass de Gatekeeper para infectar a los usuarios de MacOS.

Cómo defenderte

Apple tarda en lanzar un parche para resolver la vulnerabilidad de Gatekeeper, pero es posible sobre todo en el entorno empresarial, bloquear las comunicaciones a direcciones IP externas y, sobre todo, nunca abrir archivos adjuntos de correo electrónico desde direcciones desconocidas, y no debemos ejecutar archivos de que no tenemos la certeza absoluta de confiabilidad (típicamente llaves externas usb o externas de amigos o colegas).

Instalar un antivirus

A la espera del lanzamiento del parche que resolverá el problema y bloqueará los intentos, y estará disponible a través de las actualizaciones habituales, es recomendable tener siempre en la memoria un antivirus válido, aquí puede ver nuestra comparación y los recomendados según su uso .

Scroll al inicio