Como venimos comentando a lo largo de las publicaciones realizadas, las amenazas del tipo rogue han tenido un gran crecimiento en los últimos años. Tal como anunciáramos en el informe de tendencias 2011, los delincuentes digitales se encuentran enfocando sus esfuerzos para cubrir todas las plataformas utilizadas por los usuarios. En este caso, vamos a compartir una nueva amenaza del tipo rogue enfocada para usuarios del sistema operativo de Apple, Mac OS.

MAC Defender es un nuevo falso antivirus que se encuentra distribuido, esencialmente, a través de búsquedas de imágenes de Google, esto lo logra mediante técnicas de posicionamiento en los resultados de las búsquedas (Black Hat SEO), para que aparezcan los sitios maliciosos entre los primeros resultados en las búsquedas. Una vez que se accede a la web modificada por el atacante, se ejecuta código JavaScript ofuscado para la descarga automática del archivo malicioso.

Una vez que la amenaza es descargada se pone en marcha la instalación del malware:

Mac Defender - Instalación

Vale destacar que en el paso anterior se le pide a la victima el ingreso de la contraseña del administrador, con lo cual una vez más se observa cómo el usuario termina siendo un cómplice involuntario de la infección.

Una vez que termina la instalación del rogue, este comienza a realizar un falsa exploración de la maquina con resultados poco alentadores para las víctimas ya que se detectan múltiples alertas de varios tipos distintos de malware. Este rogue posee la capacidad de que cada vez que la victima inicia su sesión, se ejecuta automáticamente para realizar nuevamente este paso.

Mac Defender - Rogue

Como se puede ver en la imagen, los mensajes de alerta sugieren a la victima a la compra de la falsa licencia mediante tarjetas de crédito. El precio del falso antivirus es de 69.65 dólares con dos años de soporte (obviamente inexistente) y garantía de 30 días. La licencia "de por vida" tiene un costo de 79.95 dólares. Esta amenaza es detectado por ESET Cybersecurity para Mac como OSX/Adware.MacDefender.A

El crecimiento de las amenazas en las distintas plataformas es cada vez mayor, como así también los falsos antivirus o rogue que, según Google, son los códigos más utilizados en la propagación vía web por keywords. Es importante contar con una solución de seguridad antivirus, como así también que los usuarios sean cociente de este tipo de amenaza. La educación en materia de seguridad es primordial para evitar estas infecciones.

Claudio Cortés Cid
Especialista de Awareness & Research