En las últimas semanas analistas de seguridad han detectado una oleada de ataques contra macOS que utiliza certificados de Validación Extendida (EV) emitidos legítimamente para firmar imágenes de disco (DMG) con payloads maliciosos. La técnica busca explotar la confianza que generan las firmas válidas para sortear detecciones y comprobaciones nativas del sistema.
La campaña emergió cuando varias muestras aparecieron en feeds de inteligencia, todas con firmas válidas de Developer ID Application. Según el investigador ‘g0njxa’, este abuso de certificados EV, aunque conocido en Windows, se está extendiendo con fuerza al ecosistema macOS. Un ejemplo llamativo es un DMG firmado con el Developer ID THOMAS BOULAY DUVAL (J97GLQ5KW9) y SHA256 a031ba8111ded0c11acfedea9ab83b4be8274584da71bcc88ff72e2d51957dd7. La muestra usaba un identificador de paquete que imitaba al firmante “thomas.parfums”, un intento de integrarse en distribuciones legítimas.
El vector inicial parece ser phishing: sitios comprometidos alojan instaladores DMG firmados que suplantan aplicaciones de confianza. Al montarse el DMG, se ejecuta un lanzador AppleScript incrustado; el Mach-O incluido contiene referencias codificadas a un host remoto que orquesta la siguiente fase.
Aunque Apple revoca certificados denunciados, la ventana entre firma y revocación suele ser suficiente para que los atacantes consigan infecciones iniciales. Pese al coste y la verificación estricta para obtener certificados EV, los actores los consideran una inversión rentable para lograr sigilo y legitimidad temprana.
Recomendaciones prácticas: evitar abrir DMG procedentes de fuentes no verificadas; comprobar el firmante y el identificador del paquete; mantener macOS y soluciones antimalware actualizadas; y preferir descargas desde canales oficiales.
La lección es clara: la confianza establecida puede volverse un vector y exigir una verificación adicional más allá de la mera firma.
Más información:
- https://cybersecuritynews.com/hackers-abuse-ev-certificates/amp/
- https://gbhackers.com/ev-certificates/
- https://cyberpress.org/ev-code-signing-malware/
Deja una respuesta