Nueva variante de malware antiguo se disfraza como un instalador de Flash Player para entrar en Mac

Malas noticias para los propietarios de Mac: una nueva y otra no tanto. Lo “nuevo” es que se acaba de descubrir un malware, y lo otro, no tan nuevo, es que se disfraza de instalador del Reproductor Flashde Adobe, para hackear estas máquinas.

El malware fue identificado por el personal de Intégo (creador de Internet Security X9) y hasta el momento tiene una tasa de detección de 0/60 entre todos los motores antivirus VirusTotal — el primer software capaz de detectarlo y eliminarlo, por lo tanto, es VirusBarrier.

Intego identificó el malware como una nueva variante de shlayercuya versión original se reveló en 2018, e incluso se convirtió en la amenaza más extendida entre las Mac en 2019. El malware también tiene rastros de la Bundloré y adware como MacOfertas, Mughthesec, Hazme un paquete y añadircargar.

¿Cómo se instala?

Como dijimos, el malware se ha hecho pasar por instaladores falsos de Flash Player para invadir las Mac durante mucho tiempo. Asimismo, la variante shlayer recién descubierto se instala desde un troyano disfrazado de software de Adobe (que puede ser bastante convincente).


Instalador de estafas Shlayer

Después de descargar y abrir el engañoso instalador de Flash Player en la Mac de la víctima, la imagen del disco (.dmg) se abre y muestra instrucciones sobre cómo instalarlo.

Intego afirma que el malware se está propagando activamente por la web a partir de los resultados de Google, por lo que con solo hacer clic en un enlace malicioso se descargará.

¿Cómo ataca?

Aunque el instalador tiene un icono de Flash Player y parece una aplicación normal, en realidad actúa como un guión de shell para abrir y realizar acciones en Terminal.


A medida que se ejecuta el script, extrae un archivo .zip incrustado y protegido por contraseña que contiene un paquete de archivos maliciosos. Después de instalarlo en una carpeta temporal (oculta), cierra la Terminal y comienza a funcionar por sí solo. Todo esto sucede en una fracción de segundo.

Una vez que se inicia la aplicación, descarga un instalador legítimo de Flash Player firmado por Adobe para que parezca genuino, pero la aplicación oculta está diseñada para tener también la capacidad de descargar cualquier otro paquete de malware o adware a su discreción. los servidores de malware.

¿Qué se puede hacer?

Si bien el malware se encontró en los resultados de búsqueda de Google, también podría hacerlo cualquier motor de búsqueda (Bing, Yahoo, DuckDuckGo, etc.). Además, los actores maliciosos lanzan y explotan constantemente nuevo malware, por lo que es una tarea incesante para estas empresas tratar de evitar que este software se propague a través de sus sistemas.

Sin embargo, para este malware en particular, aún no está claro cuántos sitios web están infectados y cuántas variedades de resultados de búsqueda conducen a su instalación. En cualquier caso, solo el software antivirus puede detectar y eliminar el malware; presumiblemente, pronto se lanzarán otras soluciones de terceros.

Afortunadamente, Flash Player será descontinuado a finales de este año, lo que ciertamente contribuirá a que menos malware dependa del complemento de Adobe para invadir Mac y PC, al menos eso es lo que esperamos…

Artículos relacionados