Expertos de seguridad de Intego advierten de una nueva amenaza detectada «in the wild». Se trata de un malware que se camufla en instaladores de Adobe Flash Player y que utiliza los resultados de búsqueda de Google para su propagación.
Todo indica que puede tratarse de una variante del ya conocido OSX/Shlayer.
Una vez descargado y ejecutado en la máquina de la víctima, el malware muestra un instalador de Adobe Flash Player fraudulento que da instrucciones al usuario sobre cómo instalarlo. Si la víctima sigue las instrucciones, un script en «bash» volcará la carga maliciosa en la máquina. Además, para evitar la detección, se ocultarán todos los ficheros generados en este proceso. Todos menos el instalador de Flash Player firmado por Adobe, de manera que evita las sospechas a la víctima.
Cuando el malware ya está implantado en el sistema, los atacantes tienen la capacidad de descargar malware adicional o ejecutar campañas de adware desde sus servidores de control y comando.
Como mecanismo de propagación, los atacantes han usado técnicas de SEO que colocan los enlaces de descarga maliciosos en los primeros resultados de búsqueda. Para ello utilizan los títulos exactos de vídeos de YouTube populares para colocar sus enlaces entre los primeros resultados. La víctima que visite estos enlaces llegará a través de numerosas redirecciones a la descarga del software malicioso.
Para saltar las protecciones incluidas en el sistema, muchos atacantes utilizan cuentas de desarrollador de Apple (propias o robadas) para poder firmar su software. Sin embargo, los desarrolladores de esta nueva variante utilizan ingeniería social para que sea el usuario el que desactive la protección instalando la aplicación con el botón derecho.
Algunos IoC:
flashInstaller.dmg
d49ee2850277170d6dc7ef5f218b0697683ffd7cc66bd1a55867c4d4de2ab2fb
97ef25ad5ffaf69a74f8678665179b917007c51b5b69d968ffd9edbfdf986ba0
flashInstaller
86561207a7ebeb29771666bdc6469d81f9fc9f57eedda4f813ca3047b8162cfb
2c2c611965f7b9c8e3524a77da9b2ebedf1b7705e6276140cffe2c848bff9113
flashInstaller.zip
3cd3f207a0f2ba512a768ce5ea939c1aed812f6c8f185c1838bfc98ffd9b006e
bdbfefab84527b868eb073ece6eff6f5b83dc8d9ed33fe0a824ffee3b9f47b6e
Installer
05b9383b6af36e6bf232248bf9ff44e9120afcf76e50ac8aa28f09b3307f4186
907c31b2da15aa14d06c6e828eef6ca627bd1af88655314548f747e5ed2f5697
youdontcare[.]com
display[.]monster
yougotupdated[.]com
installerapi[.]com
flashdownloader[.]pro
defenderbrowser[.]com
installvibes[.]com
Como recomendación general se desaconseja el uso de Adobe Flash, al ser una tecnología obsoleta y afectada históricamente por múltiples vulnerabilidades. En el improbable caso de que se necesite, se recomienda descargar siempre desde fuentes oficiales.