Los usuarios de computadoras Mac han asumido por mucho tiempo que tienen un riesgo mucho más bajo de ser víctimas de ataques de virus y malware comparado con los usuarios del sistema Windows.
Aunque esto fue en un momento cierto, surgen cada vez más casos que demuestran la creciente vulnerabilidad del sistema MacOS. El más reciente es un falso instalador de Adobe Flash Player que elude la función Gatekeeper introducida en MacOS Lion e inyecta archivos maliciosos con los que accede y transfiere materiales sensibles, informó en un blog Fox-IT, una firma de seguridad cibernética. Con el nombre de “Snake», el malware se detectó primero en los sistemas Windows y este año parece haber dado el salto al sistema operativo de Macintosh. El malware es también conocido con los nombres de Turla, Uroburos y Agent.BTZ.
Gatekeeper utiliza un sistema basado en certificados para diferenciar entre las aplicaciones instaladas de la presumiblemente segura App Store y las aplicaciones que los usuarios pueden querer instalar de fuentes externas. Si una aplicación tiene un certificado de Gatekeeper legítimo, los usuarios pueden confiar en que es segura. Snake aprovecha este sistema utilizando un certificado de desarrollador válido que probablemente fue robado a un portador legítimo.
Según Fox-IT, Snake podría estar vinculado a hackers rusos y está principalmente dirigido a instituciones gubernamentales y militares, así como a grandes empresas. El malware ha estado dando vueltas en Windows por años y una versión para Linux fue detectada en 2014. Ahora, el malware puede infectar las máquinas con MacOS usando un marco que Fox-IT describe como «mucho más sofisticado, con infraestructura más compleja y objetivos más cuidadosamente seleccionados».
Curiosamente, Snake instala Adobe Flash Player, pero al mismo tiempo implanta un código de puerta trasera que es mantenido como persistente por el servicio LaunchDaemon de Apple. Se instala utilizando un archivo Zip llamado «Adobe Flash Player.app.zip» y aparece válido para el usuario.
Fox-IT notificó a Apple sobre el certificado en cuestión y es probable que el equipo de seguridad de la empresa lo haya revocado dentro del sistema Gatekeeper. Esto significa que el riesgo disminuye, pero los usuarios de Mac no deberían bajar la guardia.
Si usas el sistema de Apple mantén habilitado Gatekeeper, confía solo en aplicaciones de fuentes conocidas y utiliza software anti-malware para mantener tus sistemas protegidos.
