• Tweet

Hay una versión más reciente del software malicioso MacDefender, la cual se ha apreciado en varios sitios web y no requiere que el usuario ingrese la contraseña de administrador durante el proceso de instalación, para completar la rutina de infección.

La primera variante de MacDefender aparentemente inició a principios de mayo y los usuarios de Mac estuvieron viendo mensajes emergentes (pop-ups) cuando quizá visitaron enlaces provenientes de resultados envenenados en una página de búsqueda. La aplicación maliciosa, una vez instalada, intentará convencer al usuario de ingresar la información de su tarjeta de crédito para que pueda pagar la licencia del programa.

El míercoles, investigadores de Intego descubrieron una nueva versión del MacDefender, ahora llamado MacGuard, que ejecuta la misma rutina básica de infección, con la diferencia principal de que el usuario no necesita ingresar la contraseña de administrador como parte del proceso de descarga e instalación. Debido a que la mayoría de los máquinas MAC sólo tienen un usuario y ese usuario inició sesión con una cuenta de administrador, la contraseña no es una necesidad y eliminar el requerimiento de ingresarla quita un obstáculo para la infección.

El proceso de instalación es una operación de dos partes, en las cuales, en primer lugar, el malware instala automáticamente un “downloader” que contacta un servidor remoto y obtiene una carga maliciosa. El paquete, llamado “avRunner”, completa el resto de la rutina.

A diferencia de las versiones anteriores de este antivirus falso, no se requiere la contraseña de administrador para instalar el programa. Dado que cualquier usuario con una cuenta de administrador – el valor por defecto si sólo hay un usuario en la MAC- puede instalar programas en la carpeta Aplicaciones, la contraseña no es necesaria. Este paquete instala una aplicación – el downloader- llamado avRunner que después se ejecuta automáticamente. Al mismo tiempo, el paquete de instalación  se borra así mismo desde el usuario de Mac, de tal manera que se deja ningún rastro del instalador original”, comentó Intego en su blog, acerca de la nueva versión.

MacGuard, por supuesto no proporciona ningún servicio de seguridad real y se ejecuta con el fin de despojar a los usuarios de los datos de sus tarjetas de crédito para usarlas posteriormente en campañas de fraude.