El malware que afecta al sistema operativo de escritorio de los de Cupertino se encuentra en pleno apogeo y los expertos en seguridad han detectado una nueva amenaza: el troyano OceanLotus. Tal y como suele ser habitual, utilizan la suplantación de identidad de aplicaciones para llegar al equipo y en esta ocasión los ciberdelincuentes difunden este como un instalador de Flash Player.
Lo curioso de todo esto es que no se puede considerar una novedad como tal, ya que esta se detectó el mes de mayo del pasado año y lo que de verdad choca es que por el momento ninguno de los motores listado en VirusTotal ha sido capaz de llevar a cabo su detección de forma satisfactoria. Desde la empresa de seguridad Qihoo 360 han puntualizado que en esta ocasión se han encontrado nada más y nada menos que 4 versiones.
También indican que por el momento afecta a equipos ubicados en empresas y que se comenzó a distribuir a finales del pasado año en China y que su difusión ha avanzado hasta alcanzar territorio europeo, algo bastante frecuente gracias a la difusión que posee hoy en día Internet.
Pasando a hablar del troyano propiamente dicho, hay que mencionar que nos encontramos ante un arma de espionaje con una gran cantidad de funciones, permitiendo recopilar un listado de aplicaciones que se encuentran en uso, los documentos que se han abierto recientemente y la posibilidad de tomar capturas de pantalla del dispositivo.
Pero las funcionalidades de este no terminan aquí.
OceanLotus recibe actualizaciones gracias a un servidor remoto
Teniendo en cuenta que hace uso de un servidor remoto al que envía la información recopilada en el dispositivo, era de esperar que este sirviese para otro tipo de aspectos. Sin ir más lejos, el malware se nutre de actualizaciones periódicas que permiten instalar nuevas aplicaciones sobre las que sustentar su actividad y lograr incluso ejecutar comandos que permitan el cierre de aplicaciones. Teniendo en cuenta que hace uso de la API de Mac OS X para este último aspecto demuestra que los propietarios de la amenaza están francamente familiarizados con el sistema operativo de los de Cupertino.
Descargar el instalador de Adobe Flash Player o de cualquier otro programa de páginas no oficiales podría convertirse en un problema
Para que la amenaza legue a los equipos los ciberdleincuentes se ayudan de un instalador falso de Adobe Flash Player que se está distribuyendo a través de Internet y para lo cual se están ayudando y mucho de las redes sociales y páginas web, indicando al usuario que se encuentra disponible una actualización de este software que es necesario instalar. Sin embargo, cuando usuario ejecuta el paquete .dmg parece que no sucede nada, pero en realidad el malware se está instalando en segundo plano.
Para evitar esto lo mejor es no recurrir a instaladores que no procedan de la página oficial de Adobe, aunque si ya lo tenemos instalado, siempre lo podemos configurar para que descargue e instale actualizaciones de forma automática evitando que nos tengamos que preocupar.
Fuente:https://www.redeszone.net
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
