Malware para Mac intercepta trafico web para publicidad

Hace unas semanas el investigador Adam Thomas de Malwarebytes Labs, descubrió una nueva pieza de malware para Mac que realiza la interceptación de tráfico web cifrado para inyectar anuncios. La diferencia más notoria de este adware es inserta publicidad tanto en páginas HTTP como HTTPS en cualquier navegador que utilice los certificados del sistema.

OSX.SearchAwesome es el nombre y se encuentra en un archivo de imagen de disco de instalación (.dmg), sin ninguna de las marcas habituales que podrían hacer que se vea como un instalador legítimo. Una vez instalado, el software malicioso modifica y analiza las peticiones realizadas haciendo uso de una librería de Python llamada mitmproxy, la cual es utilizada para pentesting o monitorización de tráfico.

Cuando se abre la aplicación, la única evidencia de que está haciendo algo proviene de dos solicitudes de autenticación. La primera es una solicitud para autorizar cambios a la Configuración de confianza de certificado.

El segundo es permitir que algo llamado spi modifique la configuración de la red.

Dado que este malware está contenido en otro instalador malicioso, que puede ser una aplicación supuestamente crackeada de un torrent, el usuario nunca verá nada más que las solicitudes de contraseña, y éstas estarán dentro del contexto de otro instalador.
Es posible comprobar si se está infectado por esta amenaza verificando la existencia de la app spi.app en la carpeta de Aplicaciones de Mac (‘/Applications/spi.app‘). El mismo malware tiene un desinstalador pero no es recomendable utilizarlo, lo mejor es remover todos sus componentes de forma manual incluido el certificado de mitmproxy.

Más información