Alerta de Seguridad: Backdoor en macOS por Software Pirata

El mundo de la ciberseguridad está constantemente en evolución, y la última alerta para usuarios de macOS no es la excepción. Expertos en seguridad informática recientemente han advertido sobre un nuevo tipo de backdoor (puerta trasera) oculto en aplicaciones legítimas, lo cual representa una amenaza significativa para la seguridad de datos y la privacidad de los usuarios.

Nueva Amenaza para macOS

Se ha descubierto que ciertas aplicaciones piratas destinadas a usuarios de Apple macOS contienen una puerta trasera, permitiendo a los atacantes tomar control remoto de los dispositivos infectados. Estas aplicaciones se encuentran en sitios web de piratería chinos, según informaron Ferdous Saljooki y Jaron Bradley de Jamf Threat Labs. El malware activado descarga y ejecuta diversas cargas útiles ocultas para comprometer la máquina de la víctima.

Te podrá interesar leer:  Jamf Threat Labs: Laboratorio de Amenazas Informáticas

Las aplicaciones afectadas, como Navicat Premium, UltraEdit, FinalShell, SecureCRT y Microsoft Remote Desktop, se presentan en archivos DMG con puerta trasera, alterados para establecer comunicaciones con una infraestructura controlada por los atacantes. Estas aplicaciones no firmadas, alojadas en el sitio web chino macyy[.]cn, incluyen un componente 'dropper' llamado "dylib", que se activa al abrir la aplicación.

Este 'dropper' recupera una puerta trasera ("bd.log") y un descargador ("fl01.log") de un servidor remoto para establecer persistencia y descargar más cargas útiles en el sistema comprometido. La puerta trasera, ubicada en "/tmp/.test", utiliza un conjunto de herramientas de posexplotación de código abierto llamado Khepri y se elimina al reiniciar el sistema, pero se reinstala al volver a abrir la aplicación pirateada.

Además, el descargador, alojado en "/Users/Shared/.fseventsd", crea un LaunchAgent para mantenerse en el sistema y envía solicitudes HTTP GET a un servidor controlado por los atacantes. Aunque el servidor ya no está accesible, el descargador está diseñado para ejecutar cualquier respuesta HTTP recibida.

Los investigadores de Jamf han observado similitudes entre este malware y ZuRu, otro malware distribuido a través de aplicaciones piratas en sitios chinos. Sugieren que este nuevo malware podría ser un sucesor de ZuRu, basándose en sus aplicaciones específicas, comandos de carga modificados y su infraestructura de ataque.

Te podrá interesar leer:  Jamf Protect: Protección de Dispositivos macOS

¿Cómo proteger tu Mac de este backdoor y otros similares?

Aunque este backdoor parece estar dirigido a un público específico, no se puede descartar que pueda afectar a otros usuarios de macOS que descarguen software pirata de fuentes no fiables. Por eso, es importante seguir algunas buenas prácticas de seguridad para proteger tu Mac de este y otros backdoors:

1. No abras correos electrónicos de remitentes que no conozcas. Si lo haces, no hagas clic en ningún enlace ni descargues ningún archivo adjunto.
   
   
2. Haz copias de seguridad de tu Mac con regularidad. Puedes usar Time Machine o cualquier otro método que prefieras.
   
   
3. Usa un software antivirus. Hay varias opciones disponibles, tanto gratuitas como de pago.
   
   
4. Si recibes un documento de Word por correo electrónico, y parece algo que quieres o necesitas, puedes abrirlo a través de Pages en iCloud.com. Luego, copia y pega el contenido en un nuevo documento, o expórtalo como un documento de Word desde ahí.
   
   
5. Mantén las macros desactivadas en Word, ya que son un gran vector para el malware. Puedes hacerlo desde las preferencias de Word, en la sección Seguridad y privacidad.
   
   
6. Mantén tu Mac actualizado con las últimas versiones de macOS y de las aplicaciones que uses. Así podrás aprovechar las correcciones de seguridad que Apple y otros desarrolladores implementen.
   
   
7. Evita descargar software pirata de sitios web de dudosa reputación. Además de ser ilegal, puede poner en riesgo tu Mac y tu información. Siempre es mejor usar software original y de fuentes oficiales.

Conoce más sobre:  Virus de Macro en Documentos: ¿Qué son?

Conclusión

La aparición de este nuevo backdoor en macOS es un recordatorio crucial de la importancia de mantener la seguridad en nuestros dispositivos. Siguiendo las prácticas recomendadas de seguridad, como realizar actualizaciones constantes, descargar aplicaciones solo de fuentes confiables y utilizar software antivirus, los usuarios de Mac pueden protegerse efectivamente contra este tipo de amenazas. Recuerda, estar informado y preparado es tu mejor defensa en el cambiante mundo de la ciberseguridad.