Una infección EXE para tu Mac

5 Abr 2019

La idea de que el Mac OS es invulnerable es un mito, como ya hemos dicho varias veces. Recientemente, los cibercriminales han encontrado otra manera más de burlar sus mecanismos de defensa integrados. Ellos han recopilado los datos sobre el sistema infectado y los han introducido en adware mediante archivos con extensión EXE, los cuales normalmente se ejecutan en Windows. ¿Un archivo EXE que infecta a usuarios Mac? Por extraño que parezca, el método funciona.

Los archivos EXE pueden suponer un riesgo no sólo para Windows, sino también para Mac OS

La historia de una infección: un firewall pirateado que incluye un malware EXE

Es irónico que el malware se haya añadido nada menos que a un producto de seguridad: el firewall Little Snitch. Los usuarios que quisieron ahorrarse el pago de una licencia, por el contrario, obtuvieron de modo previsible un dolor de cabeza.

La versión infectada del firewall se distribuyó por medio de Torrent. Las víctimas descargaban un archivo ZIP en sus computadoras en formato DMG. Hasta ahí, todo era normal. Pero un análisis más cuidadoso de los contenidos de este archivo DMG revelaba la presencia de la carpeta MonoBundle, que incluía cierto installer.exe. Pero este no es un objeto común para Mac OS; los archivos EXE normalmente no se ejecutan en equipos Mac.

Gatekeeper ignora la situación

De hecho, los archivos ejecutables de Windows son tan poco compatibles en Mac OS que Gatekeeper (una función de seguridad de Mac OS que evita la ejecución de programas sospechosos) simplemente ignora los archivos EXE. Esto es comprensible: no tiene sentido sobrecargar el sistema con análisis de archivos claramente inactivos, en especial cuando uno de los atractivos comerciales de Apple es la rapidez operativa.

Todo estaría bien si no fuera por un “pero”: muchos programas están disponibles para Windows y en ocasiones, los usuarios Mac necesitan algunos de ellos, así que existen varias soluciones para ejecutar archivos que no son nativos de la plataforma. Uno de ellos es el marco Mono, un sistema gratuito que permite a los usuarios ejecutar aplicaciones de Windows en otros sistemas operativos, incluyendo Mac OS.

Como puedes imaginar, los cibercriminales explotan este marco. Normalmente, se necesita instalar por separado un marco en la computadora, pero estos cibercriminales encontraron un método de empaquetarlo con el malware (¿recuerdas el siniestro EXE en la carpeta MonoBundle?). Como resultado, el malware se ejecuta exitosamente incluso en equipos Mac, cuyos propietarios solamente usan programas nativos.

La historia de una infección: spyware y adware

Después de la instalación, el malware recopila primero la información sobre el sistema infectado. El cibercriminal centra su atención en el nombre del modelo, credenciales de usuario de los dispositivos, especificaciones del procesador, RAM y muchas otras cosas. Asimismo, el malware recoge y envía información sobre las aplicaciones instaladas a sus servidores de Comando y Control.

Al mismo tiempo, descarga varias imágenes más a la computadora infectada con instaladores disfrazados de Adobe Flash Media Player o Little Snitch, los cuales son en realidad herramientas de adware común y corriente que te hostigan con banners.

Cómo mantenerse protegido

La moraleja de la historia es sencilla: en un mundo de tecnologías de la información, no existen sistemas totalmente seguros. Y no puedes fiarte ciegamente de las funciones de protección integradas, incluso si se las considera confiables. He aquí algunos consejos sobre cómo puedes mantener protegida a tu computadora contra el astuto malware.

  • No instales versiones pirateadas de aplicaciones. Si realmente necesitas un programa, y en verdad no estás en posición de pagarlo, encuentra primero una alternativa gratuita.
  • Descarga siempre programas de sus fuentes oficiales: la App Store o los sitios de los desarrolladores.
  • Si decides descargar una aplicación de una fuente no oficial, por ejemplo, un rastreador de Torrent según se mencionó anteriormente, asegúrate de que en realidad se descargue. Sospecha de todo archivo “extra” en el paquete de instalación.
  • Utiliza una solución de antivirus confiable que analice todos los archivos sospechosos, sin excepciones.