Como reacción a la aparición del troyano Revir/Imuler, Apple ha decidido lanzar una actualización de XProtect, el sistema de detección de malware que viene incorporado en los Mac. Este sistema tan solo tenía hasta este momento 18 bases de firmas de virus, cantidad que se nos antoja más que insuficiente para hacer frente a las cada vez más elaboradas y numerosas amenazas para Mac.
Esta estrategia para combatir el malware hace muchos años que dejó de ser efectiva y las casas antivirus nos hemos adaptado al nivel de amenazas actuales desarrollando potentes heurísticas de detección y utilizando la nube para reaccionar a las nuevas amenazas con mayor rapidez. Pero parece que Apple sigue anclada en el pasado en lo que respecta a la seguridad de sus sistemas.
Por ejemplo, nada más publicarse esta nueva base de firmas para detectar al troyano Revir/Imuler, la empresa Intego anunció el descubrimiento de una nueva amenaza para sistemas Mac OS X conocida como OSX/Flashback, esta vez camuflada bajo un falso instalador de Adobe Flash Player.
Si el usuario lo descarga y ejecuta, el código malicioso simulará la instalación de Flash Player, simulación que está realizada con un acabado profesional y que emula muy bien al instalador real. Mientras se siguen los pasos indicados por el instalador, se abrirá una puerta trasera en el sistema usando una librería dinámica llamada Preferences.dylib.
Una vez finalizada la instalación, el malware empezará a realizar comunicaciones con un servidor remoto usando un cifrado RC4 y transmitiendo información como la dirección MAC de la tarjeta de red y la versión del sistema operativo. Potencialmente, este código malicioso también podría usarse para permitir a un atacante inyectar código en el Mac afectado.
Por suerte, la propagación de esta amenaza aún es escasa y requiere de la intervención del usuario. Desde el laboratorio de ESET en Ontinet.com aconsejamos descargar este tipo de actualizaciones únicamente desde sitios oficiales, desactivar en Safari la opción de abrir automáticamente los archivos “seguros” y contar con una solución antivirus actualizada.
Josep Albors