miércoles, 15 de junio de 2011

Malware para Mac. Vamos a contar mentiras (y III)

En la anterior entrega dábamos algunos ejemplos de malas prácticas publicitarias de Apple y posibles razones por las que se ha llegado a una situación complicada en la que cuesta librarse de ciertos estigmas. Nos centramos en esta entrega en lo que ha ocurrido últimamente con el malware para Mac.

Todo ha empezado con MacDefender, un rogueware específicamente diseñado para Mac. Como de costumbre, iba disfrazado de programa de seguridad y contaba con rápidas variantes basadas en el mismo principio como MacSecurity y MacProtector. MacGuard, su última mutación, no pedía contraseña de administrador para instalarse. Este es un movimiento inteligente. El rogueware vive de chantajear al usuario para hacerle creer que debe pagar por un programa. La actividad en el sistema se limita habitualmente a insistir (o sea, molestar con alertas falsas y recordatorios) para conseguir que el usuario pague. La víctima no tiene por qué ser administrador en el sistema para conseguir eso.

No sabemos cuánto dinero han ganado los atacantes con esta campaña, pero quizás haya sido exitosa por varias razones.

* VirusTotal: Las muestras de MacDefender llegadas a nuestra base de datos se dispararon durante el mes de mayo, con un número mayor que otras muestras para Mac "habituales".

* Han utilizado Black SEO. Los atacantes han difundido el malware usando técnicas de posicionamiento en Google, habitualmente utilizadas para esparcir malware "típico" para Windows. Esto son los mismos recursos invertidos que en ligas mayores.

* Han aparecido numerosas y mejoradas variantes en un corto espacio de tiempo, lo que indica que los atacantes están al día, trabajando en solucionar los problemas de detección y mejorando su producto.

* Al parecer AppleCare en Estados Unidos, el centro de ayuda al usuario de Mac, se vio desbordado durante días por las llamadas de miles de usuarios consultando o pidiendo ayuda para desinfectar MacDefender. Parece que la política de empresa impedía a los operadores ayudar a los usuarios, previendo que esto les animara a llamar de nuevo cuando sufrieran otra infección.

* Alerta de Apple. Como decíamos en la entrega anterior, en su página web oficial, Apple afirma orgulloso que una de las ventajas de su sistema operativo es que no es atacado por los "virus para PC". A Apple seguro que no le hizo demasiada gracia tener que publicar un anuncio oficial sobre cómo eliminar MacDefender, un "virus para Mac". Su explicación hablaba de una "estafa de phishing" (sic.) para redirigir al usuario a la descarga del malware. Se daban además instrucciones de cómo eliminar el programa de forma manual (puesto que no "infectaba" el sistema ni contaminaba sus archivos legítimos, esto es viable) y además se comprometían a publicar una actualización para eliminarlo. Nunca había realizado un anuncio de este tipo, incluso cuando los DNSChangers estaban muy de moda en 2007.

* xProtect: Se introdujo en septiembre de 2009. Se trata de un rudimentario sistema "antivirus". Tan rudimentario que reconocía cuando apareció solo dos familias que solían atacar al sistema operativo de Apple y solo comprobaba ciertas descargas. En junio de 2010 incluyó otra firma para detectar HellRTS. No limpia el sistema ni nada parecido, solo aconseja de la peligrosidad del archivo. Fue un movimiento que causó sorna entre la industria, pero en aquel momento parecía un gesto positivo, puesto que Apple asumía por fin el malware como uno de los potenciales frentes que debía combatir. Pero más de un año después el panorama no ha cambiado demasiado. Apple incluyó la "firma" de una de las variantes de MacDefender y los atacantes consiguieron eludirlo sin problema alguno. Acostumbrados a programar complejas mutaciones que complican las detecciones en el mundo Windows, eludir xProtect es un juego de niños.

Cabe destacar que Apple se ha guardado mucho en esta ocasión de recomendar abiertamente un antivirus. Cuando a final de 2008, se propagó (luego se demostraría que el mensaje era más antiguo) la noticia de que Apple escribió (y luego borró) en su web: "Apple encourages the widespread use of multiple antivirus utilities so that virus programmers have more than one application to circumvent, thus making the whole virus writing process more difficult".

Los propios usuarios de Mac OS se le echaron encima y recibió duras críticas, a pesar de lo genérico y diluido del mensaje. Era como despertarlos de un sueño y un jarro de agua fría. Durante algunas semanas, hubo que leer una vez más despropósitos y bulos sobre el malware para Mac como los mencionados en entregas anteriores. Apple pagaba el precio de una publicidad históricamente "ambigua" sobre los virus, jugándose ella misma una encerrona.

Lo cierto es que Apple debe aprender a gestionar estos casos de forma más honesta desde el punto de vista del compromiso con sus clientes y eficaz desde el punto de vista técnico. Sería una pena que no aprovechara la experiencia adquirida en estos campos por el resto de la comunidad. Si no actúa de forma responsable y tajante contra un problema que, vaya a más o no, es una realidad, Apple tropezará con todas y cada una de las piedras con las que se ha topado la industria de la seguridad desde hace años, y sufrirá las mismas heridas que todavía arrastra este negocio.


Sergio de los Santos
ssantos@hispasec.com
twitter: @ssantosv


Más información:

An AppleCare support rep talks: Mac malware is "getting worse"
http://www.zdnet.com/blog/bott/an-applecare-support-rep-talks-mac-malware-is-getting-worse/3342

How to avoid or remove Mac Defender malware
http://support.apple.com/kb/HT4650

una-al-dia (28/05/2011) Malware para Mac. Vamos a contar mentiras (I)
http://www.hispasec.com/unaaldia/4599

una-al-dia (29/05/2011) Malware para Mac. Vamos a contar mentiras (II)
http://www.hispasec.com/unaaldia/4600

No hay comentarios:

Publicar un comentario en la entrada