Compartir

Para muchos, macOS es el sistema operativo más seguro que hay y muchos lo consideran inmune a virus o malware. Pero nada más lejos de la realidad. De este tema ya hablamos en repetidas ocasiones, y aunque se trata de un sistema operativo muy muy seguro, todavía tiene algunos defectos. De hecho, no hay ningún sistema operativo que sea perfecto, y menos en temas de seguridad.

DOK, un nuevo malware dedicado para los usuarios de Mac

Un nuevo malware ha nacido. Se llama DOK, y es de los cocos programas maliciosos diseñados específicamente para usuarios de macOS.

Además, por si fuera poco, se trata de un software maligno bastante peligroso. ¿Por qué? Sencillamente porque con éste, el hacker obtiene acceso a todas las comunicaciones de tu ordenador. En concreto, puede obtener acceso a todas las comunicaciones HTTP de tu ordenador, es decir, que puede saber en qué webs navegas y qué datos mandas.

Pero todo aquel que esté familiarizado con el mundo de la tecnología sabrá que cosas como contraseñas, números de tarjetas o claves del banco se transmiten de forma segura. Esto se consigue con el protocolo HTTPS, que cifra toda esta información para que aunque alguien intercepte la información, esa persona no pueda leerla. ¿Dónde está el problema entonces? El problema es que este malware también es capaz de leer el tráfico HTTPS. He ahí el mayor peligro de este programa malicioso.

Spyware, un tipo de malware
DOK espía todas las conexiones de nuestro Mac, incluso las cifradas.

¿Cómo funciona? ¿Cómo lo consigue?

Ahora vamos a analizar el comportamiento de este programa. De esta forma podremos reconocerlo si lo vemos.

Además, cabe comentar una cosa. En aras para hacer esta explicación sencilla de comprender, omitiré gran parte de los conceptos técnicos. Para todos aquellos que quieran saber los aspectos más técnicos, les invito a visitar la fuente original de la noticia, CheckPoint. Allí encontraréis comandos que ejecuta esta pieza de software para logar su objetivo.

  • En primer lugar hay que analizar cómo hacen que el programa acabe en el ordenador de la víctima. Esto lo consiguen mediante el famoso phishing, mandando un correo diciendo que hubo un problema con sus impuestos y pidiéndole al usuario que descargue un archivo que se manda por correo.
Todo comienza con un email sospechoso ...
Todo comienza con un email sospechoso …
  • Ese archivo que se descarga es el malware. Cuando la víctima lo ejecuta éste lo primero que hace es replicarse. Así este se copia a sí mismo y se pone en la lista de ítems de inicio. De esta forma consigue que el usuario no lo borre y que se inicie cada vez que se enciende el Mac. Además también mostrará un mensaje de alerta.
  • A continuación lanzará una nueva ventana solicitando actualizar para evitar problemas de seguridad. Ésta imita a una ventana típica de macOS y de la Mac App Store, lo que hace que a un usuario no experimentado no le parezca nada extraño.
Mensaje que pide que actualices. Así es como el malware DOK consigue tus credenciales.
Mensaje que pide que actualices. Así es como el malware DOK consigue tus credenciales.
  • Cuando el usuario intenta actualizar, es preguntado por su contraseña de macOS. De esta forma, la aplicación consigue permisos de superusuario, pudiendo hacer así casi cualquier cosa. Además, por si fuera poco, elimina la necesidad de pedir la contraseña para hacer tareas de superusuario. De esta forma no tendrá que volver a pedir la contraseña nunca más, y pasará mejor desapercibido.
  • A continuación añade un proxy que le permita espiar los datos. Esto es algo que el usuario puede hacer en cualquier momento, pero en este caso el proxy es maligno, y se encuentra dentro del ordenador de la víctima.
Proxy que configura el software malicioso.
Proxy que configura el software malicioso.
  • Así es como consigue acceder a todo el tráfico. ¿Pero cómo consigue acceder al tráfico cifrado? Esto lo consigue instalando su propio certificado. De esta forma, el programa maligno podrá descifrar el tráfico seguro (HTTPS).
Certificado que instala el malware DOK para pasar por encima del HTTPS.
Certificado que instala el malware DOK para pasar por encima del HTTPS.
  • Por último, instala algunas dependencias (con HomeBrew), y lanza unos servicios que se ejecutarán en segundo plano. La finalidad de estos dos servicios es redirigir todo el tráfico a través de la DarkNet.

¡Y eso es todo! Sí, sé que hay algunas cosas que quizás no todo el mundo entienda, pero no encuentro otra forma más sencillo de explicarlo. Además, recodar que todos los datos técnicos están en la web de CheckPoint genial explicados.

Cómo evitar ser víctima de este malware

Ahora ya conocemos el comportamiento de este malware, pero esto no nos libra de ser víctima del mismo.

La primera duda que se le puede venir a alguien a la cabeza es: ¿y si tengo un antivirus? Al momento de escribir este artículo, ningún antivirus detecta este malware. Por tanto, tenerlo o no por ahora no conlleva ninguna diferencia. Eso sí, cuando actualicen la base de datos de virus, posiblemente sí sean capaz de detectarlo.

¿Pero cómo es que un “virus tan potente” llegó a poder hacer esto? Fue gracias a que la aplicación estaba firmada por un desarrollador oficial. Por tanto, las medidas de seguridad de macOS no saltaron.

Aunque aquí viene lo bueno. Apple ya revocó el certificado que firmó el malware. De esta forma, ya no podrá afectar a ninguna víctima nueva. Por desgracia, los que ya hayan sido infectados lo seguirán estando, pues el daño ya está hecho. Además, esto no descartan que no salgan programas similares en un futuro.

Antivirus en macOS

¿Cómo puedo saber si he sido infectado?

A falta de un método oficial, la mejor opción es comprobar si hay rastros del malware. Para ello, puedes comprobar lo siguiente:

  • Comprueba que no tengas una app llamada AppStore en la carpeta /Users/Share. Ahí es donde se copia el malware.
  • Comprueba que no tengas ningún certificado con el nombre de “COMOD RSA Extended Validation Secure Server CA 2”.
  • Comprueba que no tengas un proxy similar al que se puede ver en una de las capturas anteriores.

Conclusión

Espero que con esto todo haya quedado claro. Aún así, cualquiera duda no dudéis en dejárnosla en los comentarios, y la contestaremos con mucho gusto.

¿Qué opinas de todo esto? ¿Eres usuario de Mac? ¿Has sido víctima de este malware o similar? ¿Cómo has reaccionado?

mm

Soy Xoán Carlos Cosmed Peralejo, una mente curiosa con forma de estudiante de “Ingeniería de Tecnologías de Telecomunicaciones” en Vigo. Amante de la ciencia y la tecnología.

  • triggerone

    pues nada, como dice el dicho, el mejor antivirus es ser precavido y desconfiado con todo lo que llega por correo, no revisar paginas de dudosa procedencia y no bajar programas piratas, estos virus por lo general infectan a los más incautos así que si uno tiene mucho cuidado no corre riesgo de caer victima de los crackers

    • Xoan Cosmed

      Sí, en efecto. Y sobre todo en este caso que los antivirus no son de mucha ayuda, lo mejor es la precaución.