El auge de Internet global a principios y mediados de la década de 2000 hizo posible y rentable la delincuencia en línea. El monopolio de Microsoft ha convertido a Windows en el único objetivo del malware. Y así, durante años, todo el malware ha sido malware de Windows, lo que ha llevado a algunas personas a concluir que siempre será así.
Pero algo gracioso ha sucedido en la última década, ya que Microsoft ha sido duramente golpeado en juicios antimonopolio en los Estados Unidos y la Unión Europea: su monopolio ha comenzado a erosionarse y las plataformas alternativas han comenzado a tener éxito. Al mismo tiempo, Microsoft se ha vuelto más eficaz para responder a las amenazas a la seguridad.
Ver también: El personal de TI de la Universidad de Oxford «algo abrumado por el malware de Mac»
Hace un año, esta semana, escribí una publicación sobre Por qué el malware Mac está en camino. En él, describí las razones económicas por las que era casi seguro que el malware para Mac comenzara a aparecer en mayor número. En esa publicación, cité un artículo de 2008 del investigador de seguridad Adam J. O’Donnell, que decía:
Espero un malware Mac relativamente generalizado y monetizado cuando vemos que alrededor del 5-10% de la población de Internet usa Mac.
Llegué a ese punto de inflexión hace más de un año. En abril de 2011, las estadísticas de NetMarketShare mostraban que el uso de Mac era del 5,67%. Un año después, en abril de 2012, estas cifras aumentaron drásticamente con El uso de Mac ahora alcanza un 6,53% en todo el mundo.
Y ahora, con Flashback, tenemos el primer ejemplo de malware monetizado generalizado dirigido solo a Mac. Según uno Informe de los investigadores de Symantec, el modelo de negocio Flashback implicaba redirigir los clics en Mac infectadas y robar los ingresos publicitarios:
Los troyanos que hacen clic en los anuncios no son nada nuevo y están en uno análisis de W32.Xpaj.B en agosto del año pasado una botnet que mide alrededor de 25.000 infecciones podría costarle al autor hasta 450 dólares al día. Dado que el troyano Flashback mide cientos de miles, esta cifra podría aumentar considerablemente a alrededor de $ 10,000 por día.
(Mi colega de Krypton Solid, Ryan Naraine, tiene más detalles).
En la misma publicación hace un año, hice esta predicción:
Es probable que las versiones futuras de los kits forenses sean multiplataforma, con la capacidad de crear y entregar paquetes de Windows y OS X utilizando tantas vulnerabilidades y trucos de ingeniería social como sea posible. En cada página web envenenada, los visitantes se clasifican por sistema operativo: usuarios de Windows de esta manera, usuarios de OS X allí. Cada grupo recibe su propia mezcla tóxica personalizada. Si solo necesita marcar una casilla de verificación, las bandas que usan estos kits pueden, literalmente, saltar al mercado de Mac de la noche a la mañana.
Muchos de los sitios web envenenados que entregaron el producto antivirus fraudulento Mac Defender el año pasado fueron creados para manejar víctimas tanto de Windows como de Mac. Y ahora, después de Flashback, ¿adivinen qué había en las noticias hoy?
El malware multiplataforma aprovecha Java para atacar PC y Mac
Los proveedores de seguridad han descubierto un nuevo malware que ataca tanto a PC como a Mac. Utiliza la misma vulnerabilidad de seguridad de Java explotada por el malware Flashback que ha infectado a cientos de miles de Mac. Si bien el vector de ataque es el mismo que en Flashback, este subprograma de Java verifica qué sistema operativo está ejecutando y descarga el malware adecuado para él.
[…]
Ambos cuentagotas dan como resultado un troyano que abre una puerta trasera en la computadora comprometida, lo que permite a los piratas informáticos enviar comandos en secreto, cargar código en la computadora de la víctima, robar archivos y ejecutar comandos sin el conocimiento del usuario. Los dos troyanos se descargan del mismo servidor.
El troyano comprueba solo una vez si se está ejecutando en Windows, pero el cuentagotas de Python descargado vuelve a comprobar si se está ejecutando o no en una Mac. Si se ejecuta en Linux u otro sistema operativo, la amenaza no hace nada. Python no se usa a menudo para escribir malware, pero en este caso funciona bien en Mac porque Python está instalado por defecto.
Este diagrama, que documenta el funcionamiento de la amenaza recién descubierta, es casi una representación perfecta de lo que predijimos el año pasado:
Sería trivialmente fácil hacer que este exploit esté disponible para el conjunto de exploits Blackhole ampliamente utilizado, que ya está contiene un subprograma Java malicioso dirigido a la misma vulnerabilidad.
Las condiciones económicas son propicias para que las actividades maliciosas crezcan lenta y constantemente. El malware es un juego de números. A medida que las ventas de Mac continúan creciendo más rápido que las ventas de PC con Windows, especialmente en los países ricos, el objetivo es cada vez más atractivo para los delincuentes.
Esto es lo que escribí el año pasado:
Un aumento de algunos puntos porcentuales en el mercado de Mac puede no parecer mucho, pero en un universo con mil millones de dispositivos conectados a Internet, cada punto porcentual equivale a 10 millones de víctimas potenciales. Un mercado de 60 millones, 80 millones o incluso cien millones de usuarios de Mac es lo suficientemente grande para los malos.
En el año calendario que finalizó el 30 de marzo de 2012, Apple vendió más de 17 millones de Mac. Las ventas de Mac continúan creciendo trimestralmente. A finales de este año, habrá más de 80 millones de Mac, probablemente la mitad de ellas ejecutando versiones de OS X para las que Apple ya no ofrece actualizaciones de seguridad. De aquellos que ejecutan versiones compatibles de OS X, los datos recientes muestran que el 20% o más tienen al menos una actualización por detrás.
A medida que crece la proporción de Mac en línea, también lo hace el interés por los delincuentes. Harán con la plataforma Mac (aunque a menor escala) lo que han hecho con la plataforma Windows durante años: eliminar las vulnerabilidades del sistema operativo, el código asociado y las aplicaciones de terceros, cambiar de táctica con regularidad y redoblar sus esfuerzos. . de la ingeniería social. El malware de Mac puede continuar como una amenaza persistente de bajo nivel.
Como parte de esta evolución lenta y constante, es posible que vea que aumentan las apuestas y la intensidad.
Los usuarios de Windows en unidades comerciales han sido blanco de troyanos que roban información bancaria durante los últimos seis años. Brian Krebs documentó caso por caso las pequeñas empresas que fueron atacadas por pandillas que luego agotaron sus cuentas bancarias. Ese este hace unas semanas:
[C]yber ladrones golpean Alto Oriente, un distribuidor mayorista de gasolina en Middletown, NY Según el controlador de la empresa Debbie Weeden, los ladrones iniciaron 30 transferencias fraudulentas separadas por un total de más de $ 121,000. La mitad de estas transferencias fueron a tarjetas prepagas emitidas por Metabank, un importante proveedor de tarjetas prepagas.
Este ataque no fue accidental. Fue planeado como un trabajo en el banco:
El 13 de marzo, cuatro empleados diferentes de Alta East recibieron correos electrónicos que parecían haber sido enviados por un cliente actual. Los mensajes preguntaban sobre una transacción reciente y citaban un número de factura. Según Weeden, los cuatro empleados de Alta East abrieron el archivo Adobe PDF adjunto, que contenía un elemento Javascript oculto que infectó sus sistemas Windows XP con una variante del sistema. El dios troyano.
Seis días después, los ladrones establecieron una serie de pagos de salario fraudulentos …
«Los correos electrónicos provenían de un cliente legítimo y pensé que estaba cuestionando una factura», dijo Weeden. «Simplemente llegó a nuestro conocimiento entonces. Más tarde le pregunté al cliente sobre el correo electrónico, pero dijo que no lo envió «.
Hace solo dos años, Krebs aconsejó a los lectores que lo hicieran use una Mac en lugar de una PC con Windows para cualquier servicio de banca en línea, citando el ejemplo de un fraude similar de casi seis dígitos. Esa no parece una opción tan a prueba de balas en este momento.
¿Cuánto tiempo tarda un troyano bancario / registrador de teclas en estar disponible en un paquete multiplataforma? Conozco a muchos comerciantes de arte de última generación y tiendas de antigüedades Mac. ¿Crees que estos son buenos objetivos?
¿Cuánto tiempo antes de que los exploits apunten a las vulnerabilidades reveladas y reparadas en las actualizaciones recientes de OS X? Sabiendo que tantos usuarios de Mac se están actualizando lentamente, esta es una gran oportunidad sin explotar.
¿Cuánto tiempo tarda el malware de Mac basado en la web en agregar paquetes y polimorfismo del lado del servidor (PDF) como sus homólogos de Windows? Con estas tecnologías, el código malicioso puede moverse rápidamente y obstruirse con cada nueva entrega, de modo que las firmas XProtect de Apple no pueden detectarlo.
No conozco las respuestas a ninguna de estas preguntas específicas. Pero el dinero inteligente está apostando por «más temprano que tarde».
Ver también: