3 de marzo de 2016

Los programas nocivos para los equipos Apple no están tan difundidos hoy día como los troyanos para los SO Windows y Android, pero aun así los malintencionados prestan atención a los dueños de estos equipos. La mayoría de los programas nocivos modernos capaces de funcionar en el OS X sirven para la visualización no sancionada de publicidad en la ventana del navegador. Así son los nuevos troyanos de la familia Mac.Trojan.VSearch detectados en marzo por los expertos de la empresa Doctor Web.

El ataque de los troyanos de familia Mac.Trojan.VSearch a un equipo Apple empieza por el instalador de las aplicaciones detectado por el Antivirus Dr.Web como Mac.Trojan.VSearch.2. Se difunde como si fuera alguna utilidad o programa – por ejemplo, el reproductor Nice Player. Un usuario puede descargarlo de forma autónoma desde algún sitio web que ofrecen software gratis para OS X.

Una vez iniciado el instalador, en su ventana se visualiza un mensaje de bienvenida de siempre. Al hacer clic sobre Continue, Mac.Trojan.VSearch.2 debe visualizar al usuario un listado de componentes instalados además de la aplicación, que el mismo deseaba recibir al principio. En este listado al usuario normalmente se le ofrece seleccionar los módulos necesarios, pero en realidad esto no pasa: el instalador enseguida cambia a una ventana ofreciendo indicar la carpeta de instalación, así mismo, está configurado como si el usuario mismo hubiera activado todas las opciones ofrecidas. Entre los componentes que Mac.Trojan.VSearch.2 instala en el equipo infectado, fue detectado el troyano Mac.Trojan.VSearch.4, así como muchos otros programas peligrosos y no deseados, tales como MacKeeper (Program.Mac.Unwanted.MacKeeper), ZipCloud (Program.Mac.Unwanted.ZipCloud) y Mac.Trojan.Conduit.

Una vez instalado en el equipo atacado, Mac.Trojan.VSearch.4 consulta el servidor de los malintencionados y descarga del mismo un script especial que suplanta en la configuración del navegador el sistema de búsqueda predeterminado, estableciendo el servidor Trovi en vez del mismo. Usando este script, el troyano puede descargar e instalar en un Mac infectado un plugin de búsqueda para navegadores Safari, Chrome y Firefox, detectado por el Antivirus Dr.Web como aplicación no deseada Program.Mac.Unwanted.BrowserEnhancer.1. Y, por fin, este programa nocivo descarga e instala en el sistema el troyano Mac.Trojan.VSearch.7.

Al penetrar en el equipo infectado, Mac.Trojan.VSearch.7 primero crea un nuevo usuario en el sistema operativo (que no se visualiza en la ventana de bienvenida OS X) e inicia un servidor proxy especial usando el cual incrusta en todas las páginas web del navegador un escenario en JavaScript que visualiza los banners de publicidad. Además, el script nocivo recaba las solicitudes de usuarios a varios sistemas de búsqueda populares.

Los expertos de la empresa Doctor Web detectaron que en total a los servidores de ciberdelincuentes durante todo el periodo de existencia de estos servidores llegaron 1 735 730 solicitudes para descargar programas nocivos, así mismo, se detectaron 478 099 direcciones IP únicas de equipos que consultaban estos servidores. Este número permite suponer la importancia de la amenaza difundida. Todos los representantes de la familia Mac.Trojan.VSearch se detectan correctamente por el Antivirus Dr.Web para OS X y por lo tanto no suponen peligro para nuestros usuarios.

Más información sobre los troyanos