La molesta amenaza de MacOS que no desaparecerá



En dos años, el troyano Shlayer que deja caer adware se ha extendido para infectar uno de cada 10 sistemas MacOS, dice Kaspersky.

Los usuarios de Mac generalmente tienden a estar mejor protegidos contra el malware y otras amenazas en línea que los usuarios de Home windows. Sin embargo, eso no significa que sean inmunes.

Shlayer, una herramienta de malware para distribuir anuncios no deseados en sistemas MacOS, es un buen ejemplo. Desde la primera aparición en febrero de 2018, el malware se ha convertido en la amenaza más ampliamente distribuida en la plataforma MacOS. Entre los más afectados por el malware están los usuarios de MacOS en los EE. UU., Alemania, Francia y el Reino Unido.

Kaspersky, que ha estado rastreando a Shlayer durante algún tiempo, describió esta semana que actualmente infecta al menos a uno de cada 10 usuarios de Mac. Aunque el malware tiene poco para separarlo de otro software malicioso desde un punto de vista puramente técnico, continúa siendo tan activo como cuando apareció por primera vez.

De acuerdo con Kaspersky, en 2019, los ataques relacionados con Shlayer representaron casi el 30% de todos los ataques en dispositivos MacOS protegidos por los productos de la compañía. Peor aún, casi todas las otras 10 principales amenazas restantes de MacOS fueron productos de adware distribuidos por Shlayer. Entre ellos estaban AdWare.OSX.Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit y AdWare.OSX.Cimpli, señaló el proveedor de seguridad.

Una razón para la prevalencia continua de Shlayer es la forma en que se distribuye. Actualmente, más de 1,000 sitios internet «asociados» distribuyen Shlayer en nombre de los autores del malware. Los usuarios desprevenidos que llegan a estos sitios, muchos de los cuales tienen contenido pirateado de halcones, generalmente son redirigidos a páginas de actualización falsas de Flash Participant desde donde se descarga el malware en los sistemas MacOS. Los sitios asociados reciben pagos por cada descarga.

«La purple de afiliados es un enlace intermedio entre los creadores del troyano y aquellos que están dispuestos a distribuirlo por una tarifa», dice Vladimir Kuskov, jefe de investigación avanzada de amenazas y clasificación de software en Kaspersky. «La función de los sitios asociados es atraer a los usuarios a sus recursos e inculcar la necesidad de descargar y ejecutar un archivo malicioso».

Shlayer se distribuye de varias maneras, incluidos enlaces maliciosos a sitios falsos de actualización de Adobe Flash integrados en referencias de artículos en Wikipedia y descripciones de movies en YouTube. Los investigadores de Kasperksy hasta ahora han encontrado enlaces a al menos 700 dominios maliciosos para descargar Shlayer ocultos en una variedad de sitios legítimos.

Los usuarios que buscan contenido pirateado tienen más probabilidades de infectarse, dice Kuskov. Al mismo tiempo, incluso aquellos que hacen clic en los enlaces debajo de un video de YouTube o mientras buscan algo en Wikipedia están en riesgo, señala.

Molesto pero menos dañino
Shlayer se distribuye bajo la apariencia de un instalador de Flash Participant y, a primera vista, parece bastante legítimo. Al igual que otros instaladores, el malware instala software program, excepto que en este caso instala adware en lugar de software program legítimo.

Un hecho alentador es que Shlayer no se carga solo. Los usuarios deben hacer clic activamente y descargar el instalador para que se cargue en un sistema. Pero aquellos que distribuyen el malware han empleado una variedad de trucos de ingeniería social para redirigir a los usuarios a sitios de actualización falsos de Flash Participant para que los usuarios descarguen el malware, señala Kuskov.

Shlayer en sí tampoco es persistente en un sistema infectado. Un usuario que descubre el malware simplemente puede eliminar el archivo de instalación para deshacerse de él, dice.

El verdadero problema es el adware que instala. «Es importante comprender que Shlayer mismo realiza solo la etapa inicial del ataque: penetra en el sistema, carga la carga principal y lo ejecuta», dice Kuskov. El adware instalado no es fácil de eliminar para el usuario promedio. Puede ser especialmente desafiante debido a la familia de adware múltiple que Shlayer puede instalar en un solo sistema.

Además, algunos adware como AdWare.OSX.Cimpli pueden interceptar el tráfico HTTP y HTTPS de un usuario e inyectar código en las páginas world wide web solicitadas por el usuario. «En teoría, eso significa que Cimpli puede robar cualquier información ingresada por el usuario en la página world-wide-web», dijo Koskov.

Aun así, Shlayer es relativamente inocuo en comparación con otro malware más destructivo. También es un ejemplo de cómo los atacantes buscan constantemente formas de ganar dinero atacando los sistemas MacOS.

El panorama de amenazas para los dispositivos Apple está cambiando y la cantidad de software program malicioso y no deseado está creciendo, dijo Kaspersky. Desde al menos 2012, el volumen de archivos maliciosos y potencialmente no deseados dirigidos a MacOS se ha duplicado cada año.

«Pero en lugar de malware de pleno derecho, los usuarios de MacOS reciben cada vez más adware molesto, pero menos dañino», dice Kuskov. «Parece que esta forma de monetizar una infección permite a los atacantes obtener más ganancias y ahorrar en gastos».

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más suggestions





Enlace a la noticia primary