Los investigadores de seguridad Confiant y Malwarebytes han trasladado en las últimas horas sus avances en la detección de un nuevo ataque a macOS con malware. En este caso, el malware se oculta tras la publicidad, o mejor dicho, tras pulsar en la imagen de un anuncio. De este forma logran engañar a los sistemas de seguridad.
El ataque se habría producido entre el 11 de Enero y el 13 de Enero. El atacante se identifica con el nombre de VeriMal y se cree que el anuncio ha estado expuesto a hasta a 5 millones de Mac en el periodo indicado.
Como decimos, el malware se encuentra en un anuncio del popular programa Adobe Flash Player. Este tipo de anuncios aparece con cierta frecuencia en la navegación por internet. Pero en cualquier caso, aunque hayas navegado por la página que contiene este malware, infectarse implica descargar el archivo y abrirlo. Por lo tanto, con tan solo cumplir unos requisitos mínimos de seguridad, como no descargar o, por supuesto, no instalar contenido que no proviene de sitios de confianza, es más que suficiente para no infectarse.
El malware es un troyano que recibe el nombre de Shlayer. Este método de infección avanzado engaña a los sistemas de protección, pues oculta el archivo malicioso en un anuncio visible. Para ello utiliza esteganografía , que requiere un código no malicioso que actúa como pantalla, para engañar a los programas de detección. Según Eliya Stein, de Confiant:
A medida que la detección de malware continúa madurando, los atacantes más sofisticados están empezando a aprender que los métodos obvios de ocultación ya no están haciendo el trabajo, los ocultadores comunes de JavaScript dan como resultado un «tipo muy particular de galimatías.
Por último, Etein avanza que:
las técnicas como la esteganografía son útiles para el contrabando de cargas útiles sin depender de cadenas codificadas en hex o tablas de búsqueda voluminosas.
VeryMal había realizado ataques similares en el pasado, tanto a macOS como iOS.