Un investigador de seguridad ha revelado detalles de una nueva pieza de Malware indetectable dirigida a los usuarios Mac de Apple, lo que le convierte en el primer malware macOS de 2018.

Apodada como OSX/MaMi, se trata de un ejecutable sin firma Mach-O de 64 bits, el malware es similar al malware DNSChanger que infectó millones de computadoras en todo el mundo en 2012.

El malware DNSChanger generalmente cambia la configuración del servidor DNS en las computadoras infectadas, lo que permite a los atacantes enlutar el tráfico de Internet a través de servidores maliciosos e interceptar información confidencial.

Apareció por primera vez en el foro Malwarebytes, cuando un usuario publicó una consulta sobre un malware desconocido que había infectado la computadora de un amigo cambiando silenciosamente la configuración de DNS en los ordenadores Mac infectados por las direcciones 82.163.143.135 y 82.163.142.137.

Después de mirar la publicación, el ex hacker de la NSA, Patrick Wardle, analizó el malware y descubrió que se trata de un ‘DNS Hijacker’, que también invoca herramientas de seguridad para instalar un nuevo certificado raíz en un intento de interceptar las comunicaciones encriptadas.

Según Patrick Wardle:

“OSX/MaMi no es particularmente avanzado, pero altera los sistemas infectados de maneras bastante desagradables y persistentes.

Al instalar un nuevo certificado raíz y secuestrar los servidores DNS, los atacantes pueden realizar una variedad de acciones nefastas, como el tráfico de intermediarios (quizás para robar credenciales o inyectar anuncios) o para insertar scripts de minería de criptomonedas en páginas web.”

Además de esto, el malware OSX/MaMi, que parece estar en su etapa inicial, también incluye capacidades mencionadas más abajo, la mayoría de las cuales no están actualmente activadas en su versión 1.1.0:

• Toma capturas de pantalla
• Generar eventos de mouse simulados
• Quizás persista como un elemento de lanzamiento
• Descargar y subir archivos
• Ejecutar comandos

Se desconoce cuál es el motivo, el/los autor (es) detrás del malware y cómo se está extendiendo.

Sin embargo, Patrick cree que los atacantes podrían estar usando correos electrónicos maliciosos, alertas/ventanas falsas de seguridad basadas en la web o ataques de ingeniería social para apuntar a los usuarios de Mac.

Para comprobar si tu Mac está infectada con el malware MaMi, ve a la aplicación de Preferencias del sistema y verifica tu configuración de DNS; especialmente, busca que no haya nada que sea 82.163.143.135 o 82.163.142.137.

Según VirusTotal, un escáner antivirus multimotor, ninguno de los 59 software antivirus populares detecta este malware, por lo que se recomienda utilizar una herramienta de terceros, como un firewall que pueda detectar y bloquear el tráfico saliente.

También puede instalar un firewall de código abierto gratuito para macOS llamado ‘LuLu’, creado por Patrick y disponible en GitHub, que bloquea el tráfico sospechoso y evita que OSX/MaMi robe tus datos.