OSX/Shlayer: Nueva variante de Adware para macOS

Investigadores de Intego descubrieron, el pasado mes de Febrero, una nueva variante de malware en OSX denominado OSX/Shlayer. Este malware se hacia pasar por una actualización de Adobe Flash Player para infectar sistemas con adware. OSX/Shlayer también se encontró en algunas descargas de torrent. El malware instala un perfil de configuración que fuerza a la página de inicio de un navegador a establecerse como chumsearch.com. Este perfil toma el control de la configuración de la página de inicio en Safari y en Chrome. 

La infección es sencilla, al igual que ocurre con otras variantes de Shlayer, y es a través de un falso reproductor de Adobe Flash y el uso de una falsa actualización. Una vez el usuario es engañado para obtener el falso software, el resultado es una imagen de disco autoinstalable. Luego se puede ver una imagen similar a la que se muestra a continuación.

Una vez que se inicia el instalador, se da a elegir al usuario entre instalación Express o Custom Installation. La redacción está muy cuidada, por lo que no es fácil detectar el problema.  Eso sí, el acuerdo de licencia presentado no hace referencia a Adobe Flash Player, sino que hace referencia a Advanced Mac Cleaner. Esto es una gran señal de que algo no está bien, pero la mayoría de los usuarios están acostumbrados a hacer clic rápidamente en “Aceptar“ y “Continuar“. Cuando se pulsa en “Aceptar“, se presenta al usuario una solicitud de contraseña.

Figura 2: Solicitud de credenciales en la instalación

¿Qué se instala con OSX/Shlayer? Cuando se termina de instalar, lo que realmente ocurre, es que se han terminado de añadir al equipo las siguientes cosas:

• Extensión de Chumsearch para Safari. 
• MyShopCoupon. 
• Advanced Mac Cleaner.
• MediaDownloader.
• MyMacUpdater.
• Un instalador real de Adobe Flash Player.
• También ajusta la página de inicio en Safari y Chrome.

Sin embargo, no se realizan más ajustes que pudieran provocar que nuevas ventanas o pestañas se carguen, más allá de lo comentado anteriormente. En definitiva, OSX/Shlayer es simplemente el “cuentagotas“ que actúa como puerta de entrada a su sistema e instala una gran cantidad de otros componentes, como los mencionados anteriormente.