Malware para Mac intercepta tráfico cifrado para publicidad
Para el funcionamiento de esta característica, OSX.SearchAwesome hace uso de un programa en Python llamado mitmproxy, el cual permite modificar y analizar las peticiones realizadas. Este programa, que normalmente se utiliza para monitorización y pruebas, ha sido empleado esta vez con fines maliciosos. Durante la instalación del malware se solicita permisos tanto para insertar el certificado a nivel de sistema como para modificar los configuración de red, lo cual debería alertar al usuario de los peligros del software que se está instalando.
Una de las ventanas mostradas por el malware durante su instalación. Fuente: Malwarebytes. |
Aunque en un principio puede parecer que el malware no es tan peligroso, al cargar la publicidad desde un servidor Javascript externo, en cualquier momento podría emplearse para robar Cookies, Phishing, u otro tipos de actividad delictiva. Los navegadores que no empleen los certificados del sistema deberían encontrarse a salvo de este malware.
Para comprobar si se está infectado por esta amenaza, puede verificarse si se encuentra presente en el sistema cualquiera de las rutas empleadas por el malware, como puede ser ‘/Applications/spi.app‘. En teoría puede desinstalarse utilizando los medios incluidos por el propio malware (el cual efectivamente se borra), pero no se recomienda de forma general, y en este caso además aprovecha para enviar información sobre el usuario al servidor del atacante. Aunque el desinstalador revierte los cambios realizados por el malware, mantiene el certificado de mitmproxy, por lo que debe borrarse manualmente.
Los adware siguen siendo una amenaza presente no sólo en sistemas Microsoft Windows, sino que también afecta a otros sistemas, como en este caso Mac OS. Aunque este tipo de malware no parece a simple vista tan grave, puede derivar en otros tipos de amenazas debido a la publicidad intrusiva, además de afectar al rendimiento y el uso de la máquina.
Mac malware intercepts encrypted web traffic for ad injection:
https://blog.malwarebytes.com/threat-analysis/2018/10/mac-malware-intercepts-encrypted-web-traffic-for-ad-injection/
OSX.SearchAwesome:
https://blog.malwarebytes.com/detections/osx-searchawesome/
Mitmproxy:
https://mitmproxy.org/
Powered by WPeMatico