Como lo mostraron los datos revelados en nuestro informe sobre el estado del malware , las amenazas de Mac están en aumento, pero no son el mismo tipo de amenazas que experimentan los usuarios de Windows. En particular, las formas más tradicionales de malware, como ransomware, spyware y puertas traseras representan más del 27 por ciento de todas las amenazas de Windows. Esa cifra es inferior al 1 por ciento para Mac.

Además, el malware de Mac es bastante poco sofisticado en general. El 99 por ciento restante de las amenazas de Mac son programas publicitarios «simplemente» y programas potencialmente no deseados (PUP). Esto ha llevado a algunos en la comunidad de Mac a descartar estos hallazgos como sin importancia, incluso ha llevado a un blogger de Mac a escribir:

«Las Mac no tienen virus» es una afirmación que sigue siendo abrumadoramente cierta.

Sin embargo, el adware y los PUP pueden ser mucho más invasivos y peligrosos en la Mac que el malware «real». Pueden interceptar y descifrar todo el tráfico de red, crear usuarios ocultos con contraseñas estáticas, realizar cambios inseguros en la configuración del sistema y, en general, excavar sus raíces profundamente en el sistema, por lo que es increíblemente difícil erradicarlo por completo.

Para demostrar nuestro significado, lo que sigue es un análisis detallado de lo que puede ser la amenaza más sofisticada en macOS, llamada Crossrider, una amenaza que es «solo adware».

Instalación de adware para Mac

Malwarebytes detecta a Crossrider, también conocido como Bundlore o SurfBuyer, como Adware.Crossrider.

brands=(flashmall webshoppers webshoppy smartshoppy shoptool shoppytool coolshopper easyshopper liveshoppers smart-shoppy easy-shopper bestwebshoppers hotshoppy bestsmartshoppers myshopmate myshopbot surfmate surfbuyer couponizer shoppinizer shopperify mycouponize myshopcoupon mycouponsmart)

Como se llame, ha existido durante al menos seis o siete años, y ha evolucionado con bastante frecuencia durante ese tiempo.

El instalador de la primera etapa se encontró a partir del análisis de un desinstalador «weknow», que contenía un enlace a un script de shell. (El nombre «weknow» proviene de uno de los muchos sitios web utilizados por este adware). Este script de shell, que inicia todo el proceso de instalación, consta de alrededor de 300 líneas de código, un script bastante modesto que no tarda mucho en descargarse .

A pesar de su tamaño relativamente pequeño, el script abre un agujero de conejo profundo, descargando y ejecutando una gran cantidad de otros archivos. Dado que gran parte del código que se ejecuta se descarga, la carga útil exacta del adware se puede cambiar en cualquier momento y puede variar dependiendo de todo tipo de variables, como dónde se encuentra, si su máquina se ha visto antes , qué más está instalado, etc. Además, si alguno de los distintos servidores de entrega fuera pirateado por un actor más malicioso, esos scripts podrían usarse para desplegar más cargas maliciosas.

Luego, después de realizar una breve recopilación de datos de seguimiento y cargarlos en un servidor, Crossrider descarga un archivo de la siguiente URL:

http://cdn.mycouponsmartmac.com/download/Mac/InstallerResources/pwr.zip

Este archivo se expande en una aplicación llamada mm-install-macos.app. El único propósito de esta aplicación es phishing de la contraseña del usuario mediante la visualización de una solicitud de autenticación falsa. La contraseña se devuelve al script, en texto plano, donde se usa repetidamente para instalar el resto de los componentes.

contraseña phishing diálogo mac adware

Luego, el script determina la versión del sistema y realiza un conjunto de acciones en macOS 10.11 y superior, y otro en sistemas más antiguos.

Instalación a partir de 10.11

En los sistemas más nuevos, un webtools.apparchivo comprimido se descarga y ejecuta utilizando la contraseña phishing para ejecutarse como root:

http://cdn.myshopcouponmac.com/download/Mac/InstallerResources/wt.zip

Esta aplicación oscurece la pantalla, tiempo durante el cual instala una gran cantidad de archivos. Como parte de este proceso, también hace una copia de Safari que se modifica para habilitar automáticamente ciertas extensiones de Safari cuando se abre, sin necesidad de acciones del usuario.

pantalla oscurecida durante la instalación

Aunque estas modificaciones en Safari rompen su firma de código, que se puede usar para validar que una aplicación no ha sido modificada por otra persona que no sea su creador, macOS todavía la ejecutará felizmente debido a las limitaciones sobre cuándo estas firmas de código se verifican realmente.

Una vez que se completa este proceso, se elimina la copia de Safari, dejando la copia real de Safari pensando que tiene un par de extensiones de navegador adicionales instaladas y habilitadas.

Instalación en 10.10 y mayores

En sistemas más antiguos, Crossrider descarga el siguiente archivo:

http://dl.searchmine.net/download/Mac/InstallerResources/unified/SearchMine/imsearch.tar.gz

Esto se extrae y install.shse ejecuta un script que contiene. Este script solo tiene más de 900 líneas de código, y ejecuta varios otros scripts y procesos para realizar cambios en la configuración de Safari y Chrome e instalar extensiones del navegador.

En el caso de Safari, parte del proceso involucra un AppleScript que habilita una configuración de accesibilidad que proporciona acceso de teclado a todos los controles, y luego usa ese acceso para hacer clic en el botón «Permitir» en la ventana que muestra Safari cuando el usuario intenta instalar un Extensión Safari

dígale a la aplicación "Safari" que establezca los límites de las ventanas en {0, 0, -1000, -1000}
 decirle a la aplicación "Eventos del sistema"
     establecer visible del proceso "Safari" en falso
     indicar el proceso de solicitud "Safari"
         establecer de frente a verdadero
         log "Al hacer clic en el botón 1 de la hoja 1"
         dile a la ventana 1 que le diga a la hoja 1 que haga clic en el botón 1
         retraso 1
     final decir
 final decir

El script mueve furtivamente la ventana fuera de la pantalla, por lo que el usuario no ve que esto suceda durante el proceso de instalación. Todo lo que el usuario puede ver es que Safari se abre brevemente y luego se cierra.

A continuación, se descarga un binario nativo de Mac (como una aplicación, pero destinado a ejecutarse desde la línea de comandos en lugar de a través del Finder):

http://service.macinstallerinfo.com/Mac/getInstallScript/scripts/bin/iwt.bin

Entre otros archivos, este proceso, cuando se ejecuta, instalará un componente en la carpeta Aplicaciones y luego ejecutará un script de shell de casi 750 líneas para realizar más cambios en el navegador.

Datos de seguimiento

A lo largo del proceso de instalación, los diversos scripts y procesos informarán repetidamente los datos a una variedad de servidores de seguimiento. Estas transacciones envían datos potencialmente confidenciales, como:

  • un identificador único para la computadora
  • dirección IP
  • el nombre de usuario
  • versión de macOS
  • Versión Safari
  • Versión de Chrome
  • una lista de todo lo que se encuentra en la carpeta Aplicaciones
  • una lista de todos los agentes y demonios instalados
  • una lista de todos los perfiles de configuración del sistema instalados
  • la versión de Malware Removal Tool, un componente de seguridad de macOS diseñado para eliminar ciertas piezas conocidas de malware

Dado que gran parte de estos datos se obtienen a través de secuencias de comandos y procesos que se descargan de más de un servidor, los datos exactos que se recopilan y dónde se envían se pueden cambiar dinámicamente.

Cambios en el sistema.

Hay una serie de cambios realizados en todo el sistema, algunos de ellos peligrosos y difíciles de eliminar para la persona promedio. Esto convierte a Crossrider en una de las amenazas más invasivas que he visto en macOS.

Perfiles de configuración del sistema

Estos perfiles los usa normalmente un administrador de TI para administrar computadoras, a menudo de forma remota. Sin embargo, los perfiles también se pueden instalar manualmente, a través de un .mobileconfigarchivo, y el adware hace exactamente eso.

archivo de configuración móvil templat de carga útil

El perfil instalado bloquea la página de inicio y la configuración del motor de búsqueda en Safari y Chrome, evitando que el usuario los cambie hasta que se eliminen los perfiles.

Preferencias gestionadas

Una preferencia administrada es otro método para cambiar la configuración que administra un administrador de TI. En sistemas más antiguos, el adware instala archivos de preferencias administradas que establecen las preferencias de Chrome en páginas asociadas con el adware.

contenido de preferencias administradas

Cambios en el archivo sudoers

En sistemas basados ​​en Unix, como macOS, el usuario con el nivel más alto de permisos es el usuario raíz. En tales sistemas, el sudoersarchivo es un archivo que identifica qué usuarios pueden tener acceso de nivel raíz y cómo pueden obtenerlo.

El adware Crossrider realiza cambios en el sudoersarchivo en varios lugares. En uno, se agregan líneas para permitir que un par de procesos instalados tengan permisos de root cuando se ejecutan en la cuenta del usuario actual:

someuser ALL = NOPASSWD: SETENV: / Users / someuser / Applications / MyMacUpToDate / MyMacUpToDate
someuser ALL = NOPASSWD: SETENV: / Users / someuser / Applications / UpToDateMac / UpToDateMac

En algunos casos, el proceso de instalación golpea un inconveniente y no puede escribir estos cambios correctamente, lo que invalida el archivo sudoers, lo que interfiere con la capacidad de obtener permisos de root. Esto puede afectar la instalación del software y la capacidad de solucionar problemas, y es difícil de solucionar. (Para arreglar el sudoersarchivo, debe tener acceso de root, que no puede obtener porque el sudoersarchivo está roto, es un catch-22).

En otras partes del proceso de instalación, el adware proporciona a todos los procesos que se ejecutan para el usuario acceso ilimitado a la raíz sin contraseña. Las secuencias de comandos intentan revertir estos cambios, pero es posible que no siempre tengan éxito (como si la secuencia de comandos o el proceso se bloquean).

someuser ALL = (ALL) NOPASSWD: ALL

Estos cambios podrían ser secuestrados por otro software malicioso. Por ejemplo, si una pieza de malware sobrescribiera los procesos MyMacUpToDate o UpToDateMac en el primer ejemplo (que no requeriría acceso especial), podría escalar a la raíz para hacer más daño. En el último ejemplo, cualquier proceso podría elevarse al acceso raíz incondicionalmente.

TCC.db

En varios lugares, el proceso de instalación intentará modificar la base de datos TCC.db. Esta base de datos identifica qué permisos ha otorgado el usuario a diferentes procesos, como si una aplicación puede acceder a su calendario, sus contactos, el micrófono de su computadora, su cámara web o ciertas carpetas en su sistema.

Este adware intenta proporcionar a sí mismo y a una amplia franja de otros procesos una de las capacidades más poderosas: acceso de accesibilidad. Este permiso permite que estos procesos controlen otros procesos, que pueden usarse para capturar datos confidenciales, entre otras cosas.

if [[ "${osxVer}" == *"10.11"* ]] || [[ "${osxVer}" == *"10.12"* ]]; then     /usr/bin/sqlite3 <<EOF .open '$ {TCCDB}' inserte o reemplace en los valores de acceso ('kTCCServiceAccessibility', 'com.apple.Terminal', 0,1,1, NULL, NULL); ... inserte o reemplace en los valores de acceso ('kTCCServiceAccessibility', '/ bin / bash', 1,1,1, NULL, NULL); insertar o reemplazar en valores de acceso ('kTCCServiceAccessibility', '/ bin / sh', 1,1,1, NULL, NULL); inserte o reemplace en los valores de acceso ('kTCCServiceAccessibility', '/ usr / bin / sudo', 1,1,1, NULL, NULL); inserte o reemplace en los valores de acceso ('kTCCServiceAccessibility', '$ {TMPDIR} /. tmpma / installOffers.sh', 1,1,1, NULL, NULL); insertar o reemplazar en los valores de acceso ('kTCCServiceAccessibility', 'com.stubberify.mym', 0,1,1, NULL, NULL); inserte o reemplace en los valores de acceso ('kTCCServiceAccessibility', 'com.tostubornot.mym', 0,1,1, NULL, NULL); insertar o reemplazar en valores de acceso ('kTCCServiceAccessibility', 'com.trustedmac.service', 0,1,1, NULL, NULL); insertar o reemplazar en los valores de acceso ('kTCCServiceAccessibility', 'com.autobots.transform', 0,1,1, NULL, NULL); inserte o reemplace en los valores de acceso ('kTCCServiceAccessibility', 'com.mm-install-macos.www', 0,1,1, NULL, NULL); inserte o reemplace en los valores de acceso ('kTCCServiceAccessibility', 'com.mm-installer-macos.www', 0,1,1, NULL, NULL); .dejar EOF fi

Esto solo funciona en sistemas más antiguos, ya que el archivo TCC.db es de solo lectura por cualquier otro que no sea el sistema en versiones recientes de macOS. Sin embargo, en un sistema más antiguo, esto puede otorgar permisos poderosos que podrían ser abusados ​​por futuras actualizaciones del adware o por el malware que intenta escalar su acceso a los datos del usuario.

Extensiones de navegador

Se instalan varias extensiones de navegador para Safari o Chrome o ambas, dependiendo de la versión del sistema y las versiones de Safari y Chrome. Estas extensiones le dan al adware una mayor capacidad para controlar el comportamiento del navegador.

Normalmente, la adición de una extensión del navegador requiere que el usuario confirme, con el propósito expreso de evitar que el adware o el malware instalen subrepticiamente una extensión del navegador. Sin embargo, este adware utiliza una serie de trucos sospechosos, como la copia modificada de Safari mencionada anteriormente, para instalar estas extensiones sin que el usuario tenga que aprobarlas o incluso saber que se han instalado.

Las extensiones del navegador pueden recopilar un nivel intrusivo de información del navegador: esencialmente, cualquier información que pueda mostrarse en un sitio web o ingresarse en un formulario en un sitio web. Este último puede incluir datos confidenciales, como nombres de usuario, contraseñas y números de tarjetas de crédito.

Agentes de lanzamiento y demonios

Los agentes de lanzamiento y los daemons proporcionan una de las formas más comunes para que los procesos se ejecuten de manera persistente en macOS. El adware Crossrider instala múltiples agentes o demonios, dependiendo de qué archivos se estén instalando. Afortunadamente, estos son extremadamente fáciles de detectar para alguien conocedor, de hecho, son una de las primeras cosas que una tecnología podría buscar, y son relativamente fáciles de eliminar.

El malware debe ser peor, ¿verdad?

Afortunadamente (o desafortunadamente, dependiendo de cómo lo veas), no. Contraste el adware Crossrider con algunos programas maliciosos de estados nacionales, como el malware creado por el grupo Lazarus de Corea del Norte o el malware OceanLotus que se cree que fue creado por Vietnam. Tal malware normalmente instala un solo agente de lanzamiento o demonio, fácilmente detectado por cualquier experto que mire la máquina. El proceso de instalación de Crossrider solo supera con creces estas formas de malware en sofisticación.

El malware de Mac no suele ser particularmente sofisticado. Por supuesto, esto no significa que no pueda ser peligroso, pero en este momento, está sentado en la mesa de malware para niños. En pocas palabras: no es sofisticado porque no tiene que serlo. Si eres un usuario de Mac infectado con malware, probablemente no habrá ningún síntoma externo que puedas notar.

Por el contrario, el adware es muy notable, ya que cambia el comportamiento de su computadora, generalmente su navegador web. Por esta razón, el adware Mac ha tenido que evolucionar mucho más allá del malware Mac, y se ha vuelto mucho más astuto y más difícil de eliminar.

¿Cuál es la comida para llevar?

Aunque a muchos expertos de Mac les gusta descartar el adware como un problema, dicen que las personas solo se infectan cuando hacen «cosas estúpidas», la mayoría de las violaciones de datos más masivas y los ataques dañinos de ransomware en máquinas Windows ocurren por negligencia del usuario: dejando los datos expuestos en Internet, abriendo enlaces maliciosos a través de correo electrónico de phishing o no parcheando el software de manera oportuna.

El adware es un problema creciente en Mac, y también en los sistemas operativos Windows y Android. Fue la amenaza más frecuente en todas las regiones del mundo, tanto para los consumidores como para las empresas. Y vimos que algunos adware de Mac eran en realidad más frecuentes que la mayoría de las amenazas de Windows en 2019.

Peor aún, estas infecciones de adware suelen ser más graves que una infección de malware, lo que abre posibles agujeros de seguridad que podrían aprovecharse con más amenazas maliciosas y resulta difícil deshacerse de ellos. Además, el adware en la Mac también intercepta y descifra todo el tráfico de la red, usa nombres generados aleatoriamente para los archivos instalados, usa técnicas de análisis para evitar que los investigadores los analicen, crea usuarios ocultos en el sistema con contraseñas conocidas y más.

En general, si tuviera que elegir entre uno u otro, estaría dispuesto a infectar mi propia máquina con la mayoría del malware de Mac antes de hacer lo mismo con el adware de Mac. El malware para Mac a menudo me hace reír. El adware de Mac a veces me da escalofríos.

COI

Los siguientes indicadores de compromiso están asociados con este adware.

Dominios

http://www.weknow.ac
http: //*.searchmine.net
http://client.mm-bq.host
http://service.macinstallerinfo.com
http: //*.macmymacupdater.com
http: //*.mycouponsmartmac.com
http: //*.myshopcouponmac.com
http: //*.mycouponizemac.com
http: //*.shopperifymac.com
http: //*.shoppinizermac.com
http: //*.couponizermac.com
http: //*.surfbuyermac.com
http: //*.surfmatemac.com
http: //*.myshopbotmac.com
http: //*.myshopmatemac.com
http: //*.bestsmartshoppersmac.com

Archivos

searchmine.sh 441fa62645591b2aa1b853ebfa51fe5bb36e6464ad3a4ff58a0b8297bea851d9
mm-install-macos ee94315a1099a982a2b61878a64ee6fe9134e544cdcae565995948a8ca843e51
webtools 888a1f9dfadde892496a3214ceb2a5a62a3997381ba6dbcd4e741d033352fd31
imsearch.tar.gz e07c9e59f7621eead7300cfe264a2d24a7749d592d8a2b32c48125eadf293f08
install.sh 591919f7b5ced77431990e7e9f257ce049f1fb2f93e9cdcb19b5400060518031
iwt.bin 168d9c1a06ab3f633e6fc724834ad8a9f4dc3c71945a34342347ce0df042a361
gui_scripting.sh df402cf21e5f78e55050d7ee14c050869d477faaeb58ab841f5992a0638a4a9f
installSafariExtension 212a954a7b67e851063daa2acabe841e8e54a4c29ca4f1fc096a160f1764aa14
installSafariHpNt 18b449b7d25733557d305b8a8ae9b331e628ec892996a83a39cb74bf2a7eca9a
update_legacy_chrome.py b5ac18d3ea66dfad4baf02efad1a2f27f8134a2cd0f3c1d78e44d49bed613064
updatePreferences.py 6180666302bbf8032801d0aec6df08fbd27349c9d628f3a3dd7295256bf751b6

¡Gracias a Aditya Raj Das por encontrar la muestra y ayudar con el análisis!