Un nuevo malware para Mac intenta conectar tu webcam a la Dark Web

El malware en Mac es menos frecuente que en Windows o Android, por eso cada vez que aparece uno nuevo suele recibir mucha atención. Esto es bueno y malo. Bueno porque nos recuerda que los Mac no son mágicamente inmunes a los cibercriminales, y que basar nuestra vida digital en esta falacia nos pone seriamente en peligro.

Y es malo porque tiende a extremar las opiniones de los que creen que el malware para Mac es prácticamente inexistente y los que se ríen de la inocencia de los usuarios de la marca de la manzana.

Por todo esto nos parece interesante hablaros del malware OSX/Eleanor-A que ha sido recientemente descubierto. Hemos intentado ser imparciales para dejar que cada uno decida si el ecosistema de Mac es suficientemente seguro.

OSX/Eleanor-A

Primero vamos a explicar lo que es OSX/Eleanor-A.

• El programa pretender hacerse pasar por EasyDoc Converter, una herramienta que facilita a los usuarios de Mac leer ficheros de Windows y viceversa. Este tipo de programas son muy utilizados.
• EasyDoc Converter es fácil de descargar e instalar pero parece que no es muy útil. Si estás buscando un programa de este estilo, es muy probable que lo pruebes y después lo desinstales al ver que no funciona.
• Sin embargo, crea una carpeta oculta que contiene una serie de programas y scripts. Incluso si sabes dónde buscar, los ficheros parecen inocuos, siendo la mayoría utilidades gratuitas. Todos estos componentes no desaparecen cuando desinstalas EasyDoc Converter.
• El malware usa una utilidad de OS X para instalar estas herramientas y que se ejecuten en segundo plano, de manera que el usuario no se dé cuenta que están en marcha.
• El programa #1 es una copia de Tor. El programa ejecuta Tor, no solo para conectar el ordenador con la Dark Web, sino para publicitarlo como un “servicio oculto”.
• El programa #2 es un script de administración de PHP, que permite que el ordenador y sus ficheros sean accesibles vía navegador.
• El malware conecta ambos programas ocultos de manera que quien sepa el nombre de servicio de ese ordenador, que es único y aleatorio, pueda conectarse a él remotamente.
• El programa #3 sube el nombre de servicio a una cuenta de Pastebin.
• El malware también incluye tres utilidades que pueden usar los ciberdelincuentes. La primera es Netcat, que sirve para enviar y recibir datos a través de una red. La segunda es Wacaw, una herramienta gratuita para sacar fotos y vídeos con la webcam, y por último una herramienta para visualizar imágenes basada en PHP.

En resumen, los cibercriminales han empleado unas pocas herramientas gratuitas y han creado un pequeño script para unirlas, creando un interesante malware, que no necesita de privilegios de administrador, así que no verás ninguna ventana de aviso.

¿Qué buscar?

El programa tiene la siguiente apariencia, y se obtiene una simple pantalla de “arrastra y suelta” cuando lo ejecutas:

La pantalla de “Drop Files” no hace nada, es un simple señuelo para que no sospeches de que ocurre algo malo. El siguiente paso lógico, al comprobar su ineficacia, sería desinstalar la aplicación y buscar otra que funcione. Todo esto sin sospechar que nos acabamos de infectar con un malware ya que se ha creado la siguiente carpeta y ficheros, y que sobrevivirán a la desinstalación:

Como hemos explicado anteriormente, además se van a ejecutar en segundo plano tres aplicaciones que permitirán a los ciberdelincuentes acceder al ordenador infectado.

¿Qué hacer?

Es complicado que te cruces con este programa, pero si te lo bajas e intentas instalarlo, lo primero que verás es un mensaje como el siguiente:

Esto ocurre porque el programa no está firmado con una clave criptográfica que demuestre que es de un desarrollador registrado de Apple. Esto no nos da una protección absoluta, ya que los delincuentes pueden robar o conseguir una clave perfectamente válida, que funcionará hasta que Apple diga lo contrario.

Por eso te recomendamos que uses un antivirus en tu Mac, aunque no hayas sufrido ningún percance en todos estos años. Sophos Home es 100% gratuito y protege tanto a Macs como Windows.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: