Un conocido grupo de hackers rusos se han dado a la infame tarea de portar a macOS un malware del tipo backdoor que ha estado infectando a ordenadores con Windows y Linux desde 2008. El malware, creado por este mismo grupo utiliza una sofisticada técnica para infiltrarse en el sistema y su objetivo principal es abrir una puerta trasera en el sistema para aplicar técnicas de ciberespionaje a las víctimas.
Conocido bajo el nombre de Snake, Turla y/o Uroburos, este malware se disfraza como un instalador legítimo de Adobe Flash Player. En el caso de macOS, al instalarse se logra ocultar en carpetas del sistema de macOS para lograr pasar desapercibido. Investigadores en seguridad advierten que incluso con Gatekeeper activado, la herramienta de seguridad de macOS, el malware logra correr sin problemas y pasa sin ser detectado gracias a un certificado válido de desarrollador.
Fox-IT, una de las empresas en seguridad que ha emitido una alerta al respecto, explica que la infraestructura de Snake es más compleja que las amenazas comunes. Aclara eso sí, que los atacantes logran vulnerar la seguridad de objetivos muy selectos.
Ciertamente, el método utilizado no es del todo complejo, quizás una vez operando las cosas cambias. Desde siempre se ha conocido que los hackers utilizan estos instaladores de Adobe Flash Player para intentar instalar malware en el sistema o en los navegadores web. En este caso, independiente de la forma en que se nos invite a instalar Adobe Flash Player, el usuario debe descargar un archivo Player.app.zip. El certificado de desarrollador esta emitido para Andy Symonds y no para Adobe, aunque claro, el usuario generalmente no verifica este dato y ya que Gatekeeper lo reconoce como válido, logra instalarse sin problemas.
Una vez ejecutado, solicita al usuario los permisos de administración, justo como lo haría el instalador de Flash Player. Tan pronto como el usuario escribe la contraseña el proceso de instalación de Adobe Flash Player correrá como lo debe hacer, aunque en segundo plano se esta copiando los archivos de Snake.
Por su parte Apple ya ha comenzado a mitigar la amenaza revocando el certificado de desarrollador. Sin embargo, usuarios que descarguen aplicaciones crackeadas a través de torrents, pueden estar expuestos a que el archivo venga incluido en el paquete de apps. Además, hay que considerar que el grupo hackers desarrolladores de Snake podría cambiar el certificado y volverlo hacer funcional.
Usuarios que sospechen haber sido víctimas de este malware, pueden instalar la herramienta de Malwarebytes Anti-malware para Mac; este software detectará el malware bajo el nombre OSX.Snakes. Si quieres saber rápidamente si has sido infectado con Snake, puedes hacerlo verificando la existencia de estos archivos y carpetas:
- /Library/Scripts/queue
- /Library/Scripts/installdp
- /Library/Scripts/installd.sh
- /Library/LaunchDaemons/com.adobe.update.plist
- /var/tmp/.ur-*
- /tmp/.gdm-socket
- /tmp/.gdm-selinux
Usuarios infectados, además de escanear con Malwarebyte anti-malware para Mac y remover los archivos restantes, deberán cambiar las contraseñas que hayas introducido en ese ordenador. Puede parecer un poco exagerado, pero hay que considerar que este malware introduce un backdoor precisamente para espiar al usuario.
Como última recomendación, todo esto se puede evitar si descargamos Adobe Flash Player para macOS únicamente de la página oficial —si es que tanto lo necesitas.
