una-al-día | Hispasec

sábado, 27 de octubre de 2018

Malware para Mac intercepta tráfico cifrado para publicidad

Ha sido detectado un nuevo tipo de adware para Mac que emplea un ataque Man in the Middle (MitM) en la máquina infectada para insertar Javascript en las páginas

El investigador Adam Thomas de Malwarebytes Labs ha descubierto un malware bautizado como OSX.SearchAwesome, el cual está siendo utilizado con fines publicitarios (adware). A diferencia de otros adware que insertan publicidad con plugins de navegación o modificando el tráfico HTTP, este nuevo tipo de malware inserta su publicidad tanto en páginas HTTP como HTTPS en cualquier navegador que utilice los certificados del sistema.

Para el funcionamiento de esta característica, OSX.SearchAwesome hace uso de un programa en Python llamado mitmproxy, el cual permite modificar y analizar las peticiones realizadas. Este programa, que normalmente se utiliza para monitorización y pruebas, ha sido empleado esta vez con fines maliciosos. Durante la instalación del malware se solicita permisos tanto para insertar el certificado a nivel de sistema como para modificar los configuración de red, lo cual debería alertar al usuario de los peligros del software que se está instalando.

Una de las ventanas mostradas por el malware durante su instalación. Fuente: Malwarebytes.

Aunque en un principio puede parecer que el malware no es tan peligroso, al cargar la publicidad desde un servidor Javascript externo, en cualquier momento podría emplearse para robar Cookies, Phishing, u otro tipos de actividad delictiva. Los navegadores que no empleen los certificados del sistema deberían encontrarse a salvo de este malware.

Para comprobar si se está infectado por esta amenaza, puede verificarse si se encuentra presente en el sistema cualquiera de las rutas empleadas por el malware, como puede ser '/Applications/spi.app'. En teoría puede desinstalarse utilizando los medios incluidos por el propio malware (el cual efectivamente se borra), pero no se recomienda de forma general, y en este caso además aprovecha para enviar información sobre el usuario al servidor del atacante. Aunque el desinstalador revierte los cambios realizados por el malware, mantiene el certificado de mitmproxy, por lo que debe borrarse manualmente.

Los adware siguen siendo una amenaza presente no sólo en sistemas Microsoft Windows, sino que también afecta a otros sistemas, como en este caso Mac OS. Aunque este tipo de malware no parece a simple vista tan grave, puede derivar en otros tipos de amenazas debido a la publicidad intrusiva, además de afectar al rendimiento y el uso de la máquina.

Juan José Oyague
joyague@hispasec.com

Más información:

Mac malware intercepts encrypted web traffic for ad injection:
https://blog.malwarebytes.com/threat-analysis/2018/10/mac-malware-intercepts-encrypted-web-traffic-for-ad-injection/

OSX.SearchAwesome:
https://blog.malwarebytes.com/detections/osx-searchawesome/

Mitmproxy:
https://mitmproxy.org/

viernes, 26 de octubre de 2018

20 años y seguimos tan jóvenes

Hace falta remontarnos a octubre de 1998 para que vuelva a nuestra memoria lo que en sus inicios fue una semilla llamada “una al día”, de la que nació la primera empresa de ciberseguridad en España, Hispasec Sistemas. No podemos mirar hacia atrás sin un punto de nostalgia ya que hay personas que nos han abandonado en este camino pero que han dejado una gran huella tanto empresarial como afectiva. En este punto, un especial reconocimiento a nuestro compañero y amigo Antonio Ropero.

Una al día, nació de una genial locura iniciada por Ropero y Bernardo a la que al poco tiempo nos unimos Jesús Cea y yo, Román. Este reto personal y hacia la comunidad no era otro que el de escribir una noticia de seguridad gratuita diaria. Esto que ahora se puede ver como algo bastante fácil, creedme cuando os digo que era algo complicado en aquellos inicios, sobre todo el mantener la periodicidad, que no siempre se consiguió. Aunque si comparáis los días que han transcurrido desde su inicio con el número de noticias publicadas, os cuadrarán milagrosamente.

Este proyecto no podría haberse realizado sin la colaboración y el esfuerzo de nuestros compañeros de trabajo, un buen número de personas, de los cuales algunos de ellos siguen con nosotros y otros tomaron otros derroteros en el mundo de la seguridad de la información. Pero sería injusto no recordarlos a todos en este momento, si bien no nominalmente, ya que han sido muchos, sí globalmente, ya que contribuyeron a hacer realidad un proyecto ilusionante.

Cuando entro por la mañana a nuestras instalaciones, no puedo sino sonreír al ver el “equipazo” de gente que comparte el día a día de la empresa, la ilusión y la involucración continua en este proyecto que nos gusta ver como algo más que una empresa. Os agradezco realmente que estéis ahí y os comáis los marrones, las presiones y los horarios intempestivos. Sobre todo vosotros, los del SOC, con días, tardes, noches, domingos y festivos: gracias. Al departamento comercial al que continuamente se aprieta para cumplir objetivos; al departamento administrativo, que tanto me aguanta; a los auditores, que se les pide más y más; a desarrollo, que nos da esa sabia nueva tan necesaria para poder estar en la punta de lanza; a los administradores de sistemas, que mantienen el latido de la empresa; y a ti Fernando (CEO), por hacernos ver que las cosas se pueden hacer de forma diferente.

Sería injusto no acordarnos en este momento de celebración de nuestros clientes, que han sido y serán el motivo de nuestras ganas de superación y sin ellos este proyecto no hubiera llegado a ningún lado. A nuestros lectores también un gracias enorme porque de poco serviría escribir las noticias de seguridad si no estáis ahí para leerlas, gracias.

Ya sé que me habéis pedido que haga esta noticia de los 20 años de “Una al día” pero me he permitido la licencia de hacer un recorrido más sentimental que técnico, de por qué existe a día de hoy “UAD” e Hispasec.

Hay un capítulo de nuestra historia que merece una referencia especial ya que fue un hito importante a nivel internacional y nacional. Ésta fue la venta a Google de VirusTotal, algo que como entenderéis nos llenó de orgullo pero a la vez de un sentimiento de pérdida, tanto como empresa, como sentimental, ya que con aquel proyecto se fueron de la empresa un grupo humano fantástico, tanto a nivel técnico como humano. Ya sabéis que os deseamos los mejores éxitos.

Como no podía ser de otro modo, inmediatamente nos pusimos manos a la obra, naciendo de parto espontáneo Koodous (nuestro antivirus colaborativo para Android), nuestro nuevo proyecto que aún tan joven, nos está dando grandes alegrías.

Posiblemente este texto no vea la luz ya que no cumple los parámetros normales de nuestras noticias de “UAD”. No obstante, a mí me ha servido para echar la vista atrás y ser consciente de dónde estamos y por qué estamos aquí.

Lo que sí os puedo prometer es que en nuestra mente y corazón está el poder escribir dentro de veinte años sobre lo que ahora es el futuro y contaros lo bien que nos lo hemos pasado con otros veinte años más.

Antonio Román

@antonioroman

Más información:

Una-al-día cumple 10 años:

https://unaaldia.hispasec.com/2008/10/una-al-dia-cumple-10-anos.html