Symantec, falso blog muy real, infectó a miles de usuarios

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

El 20 de noviembre, los investigadores de seguridad de TI descubrieron que los atacantes usaban el falso sitio web de blog de Symantec para entregar malware Proton a usuarios de macOS insospechados.

En el sitio falso de Symantec, los ciberdelincuentes publicaron un “análisis” sobre la existencia de una amenaza de malware llamada CoinThief.

El análisis continuó explicando cómo se descubrió CoinThief durante 2014 y cómo los usuarios pueden protegerse contra esta amenaza instalando “Symantec Malware Detector“, un programa que no existe.

En realidad, el archivo de descarga fue un malware Proton creado para infectar dispositivos y robar datos.

El falso blog de Symantec descubrió la propagación de Proton Malware contra Mac

De acuerdo a los investigadores, aseguraron que: “El sitio era una buena imitación del blog real de Symantec, incluso duplicando el mismo contenido. La información de registro para el dominio aparece, a primera vista, para ser legítimo, usando el mismo nombre y dirección que el sitio legítimo de Symantec. Sin embargo, la dirección de correo electrónico utilizada para registrar el dominio era obsoleta “.

Además, descubrieron que los atacantes también crearon perfiles de Twitter falsos para difundir el sitio web fraudulento en el sitio de redes sociales, sin embargo, algunos usuarios auténticos también retuitearon el enlace.

Pero lo que vale la pena observar es que el sitio estaba usando un certificado SSL emitido por la empresa de seguridad cibernética de Comodo y no por Symantec.

Aquellos usuarios que instalaron el archivo en sus dispositivos Mac podrían estar bajo amenaza ya que el malware Proton pueda tomar privilegios de acceso a la raíz y permitir que un atacante obtenga el control completo de un dispositivo específico.

También ejecuta comandos de consola en tiempo real y administrador de archivos, registro de teclas, conectividad SSH / VNC, capturas de pantalla, operación de la cámara web y la capacidad de presentar una ventana nativa personalizada que solicita información como una tarjeta de crédito, licencia de conducir y más.

Proton también cuenta con la capacidad de acceso de iCloud, incluso cuando la autenticación de dos factores está habilitada. El malware se envía con firmas de firma de código genuinas de Apple. Esto significa que el autor de Proton RAT de alguna manera superó el riguroso proceso de filtración que Apple otorga a los desarrolladores de MAC OS de software de terceros y obtuvo certificaciones genuinas para su programa.

Como Apple ya es consciente del problema, ha revocado el certificado utilizado para firmar el malware. Esto evitará que Symantec Malware Detector infecte aún más a los usuarios.

 

Yago Gómez Trenor – Analista de Seguridad de Vintegris