Los mitos acerca de la seguridad de los Mac OS X

---

Los mitos acerca de la seguridad de OS X han sido desmantelados por los recientes acontecimientos en el mundo del malware.



Los falsos antivirus no son una noticia nueva para los usuarios de OS X, ya que llevan aquí bastante tiempo, pero el nuevo competidor llamado MacDefender lleva el negocio a un nivel completamente nuevo. Este ejemplo clásico de envenenamiento de búsqueda realmente eficaz combinado con la opción "Abrir seguro los archivos después de descargar los archivos” de Safari ha hecho más fácil a los ladrones que están detrás del negocio MacDefender automatizar el proceso de extracción del malware de su archivo y ponerlo en marcha sin la interacción del usuario. La aplicación pide la contraseña del administrador, pero la mayoría de los usuarios sin experiencia caen en esta trampa.

El falso antivirus MacDefender

El proceso de instalación es el siguiente: el usuario de Mac realiza una consulta de búsqueda de imágenes (por ejemplo, búsquedas de imágenes relacionadas con la muerte de Osama Bin Laden). Al hacer clic en un vínculo envenenado, un escáner falso aparece en la pantalla, e inicia un falso análisis que acaba anunciando triunfalmente al usuario de que su sistema está lleno de malware. Esta es una práctica común en el caso de los falsos antivirus. En este punto, la víctima está conectads y lista para abrir su billetera para pagar por una solución a este problema.


MacDefender.JPG

El escáner falso ofrece la respuesta: una solución antimalware aún no registrada aparece en pantalla. El usuario sólo tiene que descargar un archivo zip. con un nombre de archivo como "BestMacAntivirus2011.mpkg.zip". Después, se iniciará la desinfección desde el momento en que el usuario paga una "pequeña" cuota que la víctima percibe, dadas las circunstancias, como una bendición. Aparte de la suma de dinero, el ciber-delincuente tiene en este momento las credenciales del usuario de tarjetas de crédito, así de fácil.



Este ejemplar de malware fue descubierto el día 2 de mayo, y desde entonces han aparecido variantes similares con distintos nombres: MAC Defender, Mac Security and Mac Protector.

Kits de malware

La siguiente amenaza es un kit DIY (“Do-It-Yourself”, hazlo tú mismo) de crimeware localizado el mes pasado. Conocido por ahora bajo el nombre de Weyland-Yutani, esta herramienta de creación de malware está destinada a crear una nueva botnet con la ayuda de los aspirantes a criminales cibernéticos. El constructor la ha vendido en los foros desde hace un tiempo y permite a los menos conocedores de la tecnología cibernética crear su propio malware, simplemente introduciendo algo de información en su constructor. El kit Weyland-Yutani está equipado con un constructor, un panel de administración y puede también admitir el cifrado. Los bots resultantes inyectan y se apropian de Firefox y - a juzgar por las pretensiones de su autor – dentro de poco de Chrome y Safari. Las plantillas web usadas son idénticas a las utilizadas en Zeus y SpyEye. Es cierto que ha habido otros intentos de crear equipos de “Do-It-Yourself” para usuarios de Mac OS X, como HellRaiserbundle, pero el paquete de Weyland-Yutani es mucho más sofisticado.



La buena noticia es que su autor no tiene intención de vender el kit a más personas, lo que significa que sólo hay unos pocos constructores comprados por ahora. La mala noticia es que hemos visto este movimiento de vuelta en el apogeo de Zeus, cuando el original kit DIY fue retirado para mejorarlo y venderlo como SpyEye.

Fallos de software liderando la ejecución de código remoto

El pasado mes las actualizaciones de Apple tuvieron un importante impacto. De acuerdo con el Boletín de Seguridad de abril, la compañía ha emitido nada menos que 9 soluciones para diversos tipos de ataques que van de desbordamientos de búfer a la corrupción de memoria en múltiples aplicaciones y bibliotecas. Todas estas fallas permiten la ejecución de código arbitrario cuando un archivo de película malicioso o una imagen es abierto. Para ser más específicos, cuando se abre un película o imagen desde la web, alguien realmente puede ejecutar código (e introducir malware) en tu sistema operativo Mac OSX sin tu intervención. No requiere contraseña de administrador.



Otras correcciones de desbordamiento de búfer y de problemas de corrupción de memoria en los componentes de control de fuentes, también permiten a un atacante remoto instalar malware en el equipo sin la interacción del usuario. Las cosas son tan simples como visitar un sitio web que contiene un tipo de letra especialmente diseñado incrustado. La escalada de privilegios también está presente en el boletín: "Un fallo en el chequeo de privilegios privilegio i386_set_ldt system puede dar lugar a que a un usuario local se le permita ejecutar código arbitrario con privilegios de administrador del sistema", cita el documento. Esto significa que, en circunstancias especiales, no sólo los administradores pueden ejecutar e instalar el software, lo que hace que la ingeniería social sea mucho más fácil y más efectiva.



No voy hablar de otras vulnerabilidades en el software de terceros que pueden tener el mismo efecto en sistemas Mac, pero vale la pena mencionar que Skype (http://blogs.skype.com/security/2011/05/security_vulnerability_in_mac.html) publicó un aviso sobre un defecto que permite a un atacante tomar el control del sistema, simplemente enviando un mensaje especialmente diseñado. Eso es fácil, ¿eh?

Resumen

Ahora que Mac OS X tiene más del 10 por ciento de cuota de mercado, los ciber-delincuentes parecen haber puesto a sus usuarios en el punto de mira. Si piensas que todavía no necesitas una solución de seguridad sólo porque usas Mac OS X, probablemente te sorprenderás al saber que durante la última conferencia Pwn2Own un equipo Mac OS X 10.6.6 totalmente parcheado y con Safari 5.0.3 fue hackeado en menos de 5 segundos, dejándolo abierto a nuevos ataques.



http://www.malwarecity.es/blog/revisin-de-las-amenazas-para-mac-osx-de-los-falsos-antivirus-a-los-kits-de-malware-dedicados-97.html