Un nuevo malware en macOS llamado Snake

Un nuevo malware en macOS llamado Snake

Un nuevo malware en macOS llamado Snake

Se ha descubierto un nuevo malware en macOS llamado Snake, es un malware que hizo su aparición por primera vez en Windows. Pero ahora ha dado el salto al sistema Mac. Este malware se instala en nuestros Mac haciéndose pasar por un instalador de Flash original. El problema es que este malware se instala en carpetas ya existentes en nuestro equipo, por lo que es difícil de detectar. Incluso actúa aunque tengamos habilitado Gatekeeper.

Este malware llamado Snake y sus posibles variantes, han estado presentes desde hace prácticamente una década. Malwarebytes ha informado que Snake ha estado infectando sistemas Windows desde el año 2008.

Segun han investigado esta variante de Snake para macOS descubierta no es un malware que vayamos a recibir  al azar. Pues al parecer se guía por unos objetivos y pues es un sistema de malware bastante complejo.

Por qué medio el malware llega a nuestros archivos o carpetas

En sistema MacOS, Snake se infecta mediante un archivo.zip con el nombre de Adobe Flash Player.app.zip. Este archivo aunque en su interior contiene una versión legítima de flash la verdad es que además incluye este malware. En un principio la aplicación que viene incluida en el archivo .zip parece buena pues contiene un certificado valido firmado emitido por Apple. Pero si inspeccionamos su contenido, está firmado por un desarrollador llamado Addy Symonds. Y no por la firma que debería haber de Adobe.

A la gran mayoría de usuarios no se les ocurre comprobar el paquete de cada aplicación que van a instalar. Incluido yo mismo, pero habrá que tener más cuidado a par ir de ahora.

Como comprobar si estamos infectados con el Malware Snake.

La versión de este malware incluye código de depuración y el certificado que contiene fue firmado en febrero de este mismo año. Esto hace pensar según Fox-IT que no ha llegado a estar activo todavía. Pero que puede ponerse en activo en cualquier momento.

Por fortuna, si algún usuario tiene el archivo Adobe Flash Player.app.zip en su sistema. MacOS’ Gatekeeper el certificado como desarrollador ya no saldrá como válido. Pues Apple ha revocado este certificado para prevenir males  mayores.

Podemos comprobar si nuestro sistema ha sido infectado por Snake fácilmente, deberíamos realizar un análisis con Malwarebytes para Mac, el cual detectará a Snake como OSX.Snake y acto seguido eliminar.

Pero si preferimos realizarlo de forma manual, el malware se instala en los siguientes carpetas y archivos.

/ Library / Scripts / cola
/ Library / Scripts / installdp
/Library/Scripts/installd.sh
/Library/LaunchDaemons/com.adobe.update.plist
/var/tmp/.ur-*
/tmp/.gdm-socket
/tmp/.gdm-selinux

Desde Malwarebytes nos recomiendan cambiar contraseñas en caso de ser infectado.

 

Comentarios

comentarios