En marzo supimos de la existencia del primer ransomware en afectar al sistema operativo de Apple, que iba dentro de Transmission, el popular programa de descargas torrent. Ahora, Bitdefender Labs ha hecho público que han encontrado un malware que supone una verdadera amenaza, y que lo convierte en la primera amenazada seria para Mac, después del ransomware Transmission.
El malware ha sido bautizado como Backdoor.MAC.Elanor, y puede ser considera un troyano. La aplicación que contiene este malware está disponible en diversas webs de descargas de programas que son de supuesta confianza, como MacUpdate.
La aplicación en cuestión se llamada The EasyDoc Converter.app, y es en realidad un falso conversor de archivos. Cuando lo ejecutas para convertir un archivo, simplemente descarga un script que contiene el código malicioso. Este malware puede robar las credenciales del usuario, gestionar cualquier archivo (ver, editar copiar…), ejecutar código de manera remota con scripts en PHP, Java, C, Python…, y acceder a la webcam del usuario, entre otras cosas. Puede tener acceso total al ordenador de la víctima, y utilizarlo incluso como botnet e infectar a otros usuarios.
Según parece, un servidor PHP actúa como centro de control en el ordenador infectado, y permite al atacante utilizar el ordenador de manera anónima a través de la red Tor.
El enlace al programa sigue disponible en la web, pero no se puede acceder a la última versión, ya que ha sido suspendida su distribución en la web. Aun así, sigue habiendo disponible un enlace en la web de MacUpdate a la versión antigua, por lo que todavía hay usuarios que pueden ser engañados y descargar el archivo en el caso de desconocer que se trata de un programa malicioso.
Recomendamos también que configuréis Gatekeeper para que no se abran automáticamente cualesquiera archivos que descarguéis. También, podéis configurar en Preferencias del Sistema – Seguridad y Privacidad – Permitir descargas, y ahí elegir sólo la Mac App Store o desarrolladores identificados como oficiales por parte de Apple. Por suerte, la aplicación The EasyDoc Converter no está firmada por el Apple Developer ID, por lo que, si tenéis todas estas opciones desactivadas, el programa no llegaría a ejecutarse nunca. En el caso de que se ejecutara, os recordamos que es conveniente tener un antivirus, debido a que macOS está cada vez más en el punto de mira de los creadores de malware.
