{"id":1976,"date":"2018-10-29T19:45:29","date_gmt":"2018-10-29T19:45:29","guid":{"rendered":"https:\/\/warp.lacnic.net\/uncategorized\/malware-para-mac-intercepta-trafico-web-para-publicidad"},"modified":"2023-06-07T16:34:42","modified_gmt":"2023-06-07T13:34:42","slug":"malware-para-mac-intercepta-trafico-web-para-publicidad","status":"publish","type":"post","link":"https:\/\/csirt.lacnic.net\/en\/news\/malware-para-mac-intercepta-trafico-web-para-publicidad","title":{"rendered":"Malware para Mac intercepta trafico web para publicidad"},"content":{"rendered":"

Hace unas semanas el investigador Adam Thomas de Malwarebytes Labs, descubri\u00f3 una nueva pieza de malware para Mac que realiza la interceptaci\u00f3n de tr\u00e1fico web cifrado para inyectar anuncios. La diferencia m\u00e1s notoria de este adware es inserta publicidad tanto en p\u00e1ginas HTTP como HTTPS en cualquier navegador que utilice los certificados del sistema.<\/p>\n

OSX.SearchAwesome<\/strong> es el nombre y se encuentra en un archivo de imagen de disco de instalaci\u00f3n (.dmg), sin ninguna de las marcas habituales que podr\u00edan hacer que se vea como un instalador leg\u00edtimo. Una vez instalado, el software malicioso modifica y analiza las peticiones realizadas haciendo uso de una librer\u00eda de Python llamada mitmproxy, la cual es utilizada para pentesting o monitorizaci\u00f3n de tr\u00e1fico.<\/p>\n

Cuando se abre la aplicaci\u00f3n, la \u00fanica evidencia de que est\u00e1 haciendo algo proviene de dos solicitudes de autenticaci\u00f3n. La primera es una solicitud para autorizar cambios a la Configuraci\u00f3n de confianza de certificado.<\/p>\n

\"\"<\/p>\n

El segundo es permitir que algo llamado spi modifique la configuraci\u00f3n de la red.<\/p>\n

\"\"<\/p>\n

Dado que este malware est\u00e1 contenido en otro instalador malicioso, que puede ser una aplicaci\u00f3n supuestamente crackeada de un torrent, el usuario nunca ver\u00e1 nada m\u00e1s que las solicitudes de contrase\u00f1a, y \u00e9stas estar\u00e1n dentro del contexto de otro instalador.
\nEs posible comprobar si se est\u00e1 infectado por esta amenaza verificando la existencia de la app spi.app<\/strong> en la carpeta de Aplicaciones de Mac (\u2018\/Applications\/spi.app\u2018). El mismo malware tiene un desinstalador pero no es recomendable utilizarlo, lo mejor es remover todos sus componentes de forma manual incluido el certificado de mitmproxy.<\/p>\n

M\u00e1s informaci\u00f3n<\/h3>\n