Una infección EXE para tu Mac

9 Abr 2019

Como ya hemos comentado en otras ocasiones, la idea de que macOS es invulnerable es un mito. De hecho, los cibercriminales han descubierto recientemente otra forma de burlar su mecanismo de defensa incorporado. Recopilaron datos sobre el sistema infectado y lo alimentaron a base de adware utilizando archivos con la extensión EXE, que se suele ejecutar solo en Windows. ¿Cómo puede infectar un archivo EXE a los usuarios de Mac? Resulta extraño, pero el método funciona.

Los archivos EXE pueden suponer un riesgo no solo en Windows, sino también en macOS

La historia de una infección: un cortafuegos pirateado con un malware EXE

Resulta irónico que los ciberdelincuentes no se dedicaran simplemente a expandir el malware en masa y de forma aleatoria, sino que también lo incluyeron en una copia pirateada de un producto de seguridad: el cortafuegos Little Snicht. Por tanto, los usuarios que prefirieron ahorrarse el dinero de la licencia acabaron, como era predecible, con un quebradero de cabeza.

La versión infectada del cortafuegos se distribuyó por medio de Torrent. Las víctimas descargaron en sus ordenadoras un archivo ZIP con una imagen de disco en formato DMG, por el momento, todo normal. Pero, si observamos detenidamente el contenido de este archivo, podremos observar la presencia de la carpeta MonoBundle con un fichero installer.exe en su interior. No se trata de un objeto típico en macOS, de hecho, normalmente los archivos EXE no se ejecutan en equipos Mac.

Gatekeeper ignora la situación

Como macOS no ejecuta archivos Windows, Gatekeeper (una función de seguridad de macOS que evita que se ejecuten programas sospechosos) ignora los ficheros EXE. Es comprensible, no tiene sentido sobrecargar el sistema escaneando archivos inactivos, sobre todo teniendo en cuenta que uno de los puntos fuertes de venta de Apple es la velocidad.

Estaría bien, si no fuera porque a veces los usuarios de Mac necesitan algunos programas disponibles para Windows, lo que ha generado la aparición de archivos ejecutables que no son nativos de la plataforma. Uno de esos es el marco de trabajo Mono, un sistema gratuito que permite a los usuarios ejecutar aplicaciones Windows en otros sistemas operativos, como macOS.

Como podrás adivinar, los ciberdelincuentes se aprovechan de este marco de trabajo. Por lo general, es necesario instalarlo en el ordenador por separado, pero estos ciberdelincuentes dieron con un método para unificarlo al malware (¿recuerdas el EXE de la carpeta MonoBundle?). Como consecuencia, el malware se ejecuta incluso en los Mac cuyos propietarios solo utilizan programas nativos.

La historia de una infección: spyware y adware

Después de la instalación, el malware recopila información sobre el sistema infectado. El interés del ciberdelincuente se centra en el nombre del modelo, el ID, las especificaciones del procesador, la RAM y muchas otras cosas. El malware también extrae y envía información sobre las aplicaciones instaladas a su servidor de mando y control.

A su vez, descarga más imágenes al ordenador infectado con los instaladores disfrazados de Adobe Flash Media Player o Little Snitch, pero que, en realidad, son herramientas de adware que te incordiarán con banners.

Cómo mantenerte a salvo

La moraleja de esta historia es muy simple: según las tecnologías de la información, ningún sistema está totalmente a salvo. Por tanto, no se pueden utilizar a ciegas las funciones de protección por defecto, aunque se consideren de confianza. Sigue estos consejos y protégete contra el malware:

  • No instales versiones pirateadas de aplicaciones. Si necesitas el programa, pero no puedes pagarlo, intenta probar una alternativa gratuita.
  • Descarga siempre los programas de fuentes oficiales: App Store o las páginas web de los desarrolladores.
  • Si decides descargar una aplicación desde una fuente no oficial, por ejemplo, un rastreador de Torrent como ya hemos mencionado anteriormente, comprueba lo que estás descargando. Sospecha de todo archivo “adicional” en el paquete de instalación.
  • Utiliza una solución antivirus de confianza que analice todos los archivos sospechosos, sin excepciones.