Apple busca ayuda de Kaspersky para enfrentar malware
El mito que decía que Mac era inmune a los ataques demalware, finalmente, se borró de las mentes de todos cuando se descubrió que el troyano Flashback se había inmiscuido en más de 600,000 Macs, dejando a muchos usuarios desconcertados.
Y si bien Apple reaccionó ante estos ataques con un par de herramientas para eliminar este malware de los ordenadores Mac, su respuesta no fue rápida a pesar de que algunas compañías de seguridad ya habían advertido este problema, e incluso ya presentaban sus propias soluciones. Una de esas compañías fue Kaspersky, por ejemplo, que ahora asegura haber recibido a Apple a fin de brindarle mayor información en el tema de la seguridad.
Según lo que cuenta Nikolai Grebennikov, CTO deKaspersky, ‘recientemente, Apple nos invitó para que mejoremos su seguridad. Y hemos empezado por brindarles un análisis de sus vulnerabilidades y del objetivo que el malware tiene sobre ellos’.
Para el CTO de Kaspersky, el sistema Mac OS X es ‘muy vulnerable’, por lo que es preciso que Apple tome muy en serio el tema de la seguridad, y no vuelva a cometer el error de demorar tanto una respuesta ante un ataque.
Pero así como Grebennikov alude que el sistema operativo para ordenadores de Apple es tan inseguro como cualquier otro, también asegura que el próximo objetivo de los hackers es iOS. Incluso, considera que la aparición de malware para esta plataforma, que comprende el iPhone y el iPad, se dará dentro de muy poco: el próximo año. ‘Nuestra experiencia nos dice que en el futuro cercano, probablemente en un año, veremos el primer malware con destino iOS’.
Hace poco, un equipo de Kaspersky estuvo en Lima para hablarnos, justamente, del problema del malware en las Macs y otros sistemas. Y en ese evento, los representantes de la compañía señalaron que el malware está donde hay popularidad, por esa razón es que ahora el sistema Android está sufriendo tantos ataques. Asimismo, comentaron que Apple, al hacer que sus productos ahora gocen de más presencia en el mercado mundial, los gestores de malware cada vez se interesen más en atacar sus plataformas.
Una vulnerabilidad en Office sirve para extender malware en OS X
Recientemente se ha descubierto que se está aprovechando una vieja vulnerabilidad parchada en Microsoft Office para Mac OS X con el objetivo de expandir malware de comando y control a través de los sistemas de Apple.
La vulnerabilidad utilizada en el ataque está recogida en el boletín de seguridad de Junio de 2009 de Microsoft, donde se aplicaba el parche a todas las versiones desde Office 2004 11.5.4 o anteriores hasta Office 2008 12.1.8 o anteriores, y a OpenXML Converter 1.0.2 o anteriores.
La vulnerabilidad fue parchada muy poco después de haberse encontrado, y actualmente todos los programas de Office son ajenos al problema. Lo que están intentando hacer los desarrolladores de software es explotar los sistemas no parchados y lo novedoso del caso es que se trata de la primera vez que los documentos de Office han sido utilizados como vehículo para lanzar ataques contra OS X.
Para que este ataque funcione se debe abrir, en un sistema no parchado, un archivo Word especialmente manipulado que haya sido distribuido a través de spam o de otra manera sospechosa. De esta forma el equipo quedará infectado con un malware del que se han detectado dos variantes.
Reaparace un troyano de Mac OS X
La existencia de malware para Mac OS es mínima si se compara con otros sistemas operativos, pero los ciberdelincuentes no olvidan la plataforma de Apple.
El pasado otoño se descubrió un malware bautizado como ‘Revir and Imuler’ que intentaba forzar a los usuarios de Mac a instalar el malware en sus sistemas y después enviaba la información personal que encontraba a servidores remotos.
La estafa utilizaba un programa troyano llamado OS X/Revir.A que cuando funcionaba descargaba PDF con contenido político ofensivo en idiomas extranjeros y después instalaba un agente de puerta trasera llamado OS X/Imuler.A. De esta forma se conectaba a los servidores remotos y enviaba información sobre el sistema del usuario.
El malware no funcionaba bien y parecía estar en base beta, pero tenía el potencial de hacer daño. Ahora Eset informa de que ha encontrado una nueva variante del malware Imuler, que en lugar de utilizar un ataque en dos partes se disfraza de archivos ZIP que tienen imágenes eróticas. Cuando se abre, el ZIP muestra una serie de archivos, la mayoría de los cuales son archivos de imágenes fijas que no dañan el sistema, pero en medio está un archivo de aplicación disfrazado como una imagen.
Si el usuario abre el programa, el malware se conectará directamente a los servidores remotos y descarga un programa llamado CurlUpload, que empaqueta las capturas de pantalla y otra información en un archivo comprimido que después sube. La acción se repite cada vez que se abre el malware.
A esta nueva variante se la ha identificado como OSX/Imuler.C y se ha añadido a las definiciones de virus de las soluciones de seguridad. La naturaleza de la amenaza hace que evitarla sea relativamente fácil, ya que sólo hay que esquivar los archivos desconocidos, sobre todo si están en formato Zip y tienen contenido erótico.
Fileless el nuevo malware que ataca la RAM en Windows y Mac
El malware Fileless o Trojan-Spy.Win32.Lurk, explota una vulnerabilidad Java (CVE-2011-3544) como parte de una serie de ataques que han empezado a tener lugar recientemente.
Llama la atención que Fileless inyecta una dll (dynamic link library) cifrada de la web directamente en la memoria del proceso javaw.exe de forma que no crea nuevos archivos en el disco duro cuando infectan los ordenadores a los que ataca. Además al ejecutarse dentro de un proceso considerado como de confianza, su detección es muy difícil para la mayoría de soluciones antivirus.
Una vez que el malware Fileless se instala en el sistema, ataca al control de cuentas de usuarios de Windows para instalar el troyano Lurk y hacer que el sistema forme parte de una red ordenadores “zombie” o Botnet.
Hasta el momento el único método conocido para la propagación de Fileless ha sido a través de banners de varios sitios entre los que destaca la versión online de un popular periodico ruso y otras agencia del mismo país. No obstante los investigadores señalan la posibilidad de que esta amenaza se extienda a otros países.
Respecto a la protección contra esta amenaza, es altamente recomendable que todos los usuarios instalen un parche que cierra la vulnerabilidad CVE-2011-3544 en Java. Ésta esactualmente la única forma segura de prevenir la infección.
Fileless afecta a usuarios de sistemas Windows y Mac OS X. Interesados pueden encontrar completa información sobre este nuevo malware desde la página del investigador de Kaspersky que ha dado a conocer la noticia.
