Se descubrió una campaña única de scareware que ataca a equipos Mac con OS X. Es probable que el desarrollador detrás del malware haya dedicado tiempo a su proyecto ya que el instalador que coloca el scareware está firmado por un certificado para desarrollo legítimo de Apple.

"Desafortunadamente, este certificado de desarrollo en particular (asignado a Maksim Noskov) probablemente ha sido usado por dos años en ataques similares" dijo Johannes Ullrich, coordinador de investigación del Internet Storm Center del instituto SANS, quién el jueves públicamente reveló la campaña. "Aparentemente, hasta ahora no ha sido revocado por Apple".

Ullrich dijo que se encontró con la estafa mientras investigaba algunos enlaces con engaños ocultos en Facebook. Uno lo llevó al sitio emgn[.]com que, como indicó, podría haber almacenado un anuncio malicioso emergente que indica que Adobe Flash Player está desactualizado. Ullrich estaba usando una instalación predeterminada de OS X 10.11 en una máquina virtual y Flash no estaba instalado ahí.

Si el usuario seguía el enlace de descarga en la ventana emergente, el scareware se instalaría a sí mismo como una versión legítima y actual de Flash Player.

El certificado legítimo para desarrollo de Apple probablemente permite al scareware evitar la característica de seguridad para OS X, Gatekeeper. Gatekeeper es nativo de OS X y proporciona al usuario un mejor control sobre las aplicaciones que están permitidas para ejecutarse en una Mac, Gatekeeper sólo permite el paso a las aplicaciones descargadas de la App Store de Apple o firmadas con un certificado de Apple. El investigador Patrick Wardle también demostró algunas evasiones de Gatekeeper que no requieren que el certificado que haya sido parcialmente otorgado por Apple.

Ullrich dijo que XProtect de Apple, la protección antimalware incorporada en OS X, aún no detecta la amenaza. Agregó que los niveles de detección en VirusTotal fueron inicialmente bajos, pero desde entonces ha mejorado para completar la cobertura.

Una vez que el instalador borra el scareware, se le presenta un botón al usuario para iniciar el escaneo de la computadora en busca de problemas. El escáner muestra probables logotipos falsos de compañías de seguridad que la herramienta ha verificado. El escáner naturalmente regresa un número de virus, troyanos, etcétera, que necesitan ser eliminados y ofrece al usuario la oportunidad de comprar una herramienta de limpieza.

Ullrich dijo que el anuncio malicioso también hace un fingerprint (registro) del servidor con el objeto de atacar a los usuarios de OS X. La instalación de una versión legítima de Flash está hecha para agregar algo de veracidad al ataque. Indicó que no ha visto ataques similares en imágenes Windows.

"Creo que la notificación inicial de actualización para Flash es realmente convincente", dijo Ullrich. "En cuanto a la instalación inicial del scareware, personalmente lo encuentro exagerado y no muy elogiable, pero he hablado con personas que en el pasado cayeron con scareware similares".