Siga estos pasos para proteger su Mac de la infección por el malware de Xagent recientemente identificado.
Feliz y tardío día de San Valentín… ¡tu Mac acaba de ser infectado por malware!
En el último compromiso con la seguridad de macOS, los investigadores han detectado una nueva cepa de malware llamada Xagent que está haciendo las rondas e infectando a los Macs. Sí, lo has leído bien: Los Mac no son ajenos al malware.
Xagent es conocido por registrar pulsaciones de teclas, robar contraseñas, tomar capturas de pantalla y, lo que es más importante, detectar la presencia de copias de seguridad de iOS, que más tarde podrían utilizarse para extraer información confidencial almacenada en esas copias de seguridad para amenazar a los actores, en un esfuerzo por comprometer aún más los datos personales almacenados en iPhones e iPads.
Más información sobre ciberseguridad
Según Shara Tibken, reportero jefe de CNET, «los mismos hackers rusos que estaban vinculados a la piratería del Comité Nacional Demócrata de Estados Unidos han centrado su atención en los ordenadores Macintosh de Apple», según CNET (CNET es un sitio hermano de ConsejoTecnologico.com.
Bitdefender Labs, Intego y Palo Alto Networks realizaron un análisis completo de Xagent para destacar cómo funciona el malware y lo que se conoce hasta ahora, a la espera de que los investigadores de seguridad investiguen más a fondo.
Sin embargo, en el momento de redactar este documento, aún no se han confirmado los detalles relativos al método de infección y a las capacidades futuras de este malware; por lo tanto, los consejos que se ofrecen a continuación para mantenerse seguro se basan en las mejores prácticas del sector y en lo que se sabe sobre el malware para desarrollar las mejores posibilidades de minimizar la posibilidad de infección por Xagent.
VER: Este malware de Mac quiere robar contraseñas y copias de seguridad de iPhone (ZDNet)
No baje la guardia con respecto a los correos electrónicos y los archivos adjuntos en PDF
Una teoría del posible vector de infección del malware proviene de un troyano llamado Komplex, del que se descubrió en septiembre de 2019 que infectaba a los Mac a través de una combinación de mensajes de correo electrónico enviados a objetivos específicos (también conocido como phishing submarino) y que contenía un archivo adjunto en formato PDF que contenía el código malicioso que llevaría a infectar el sistema al abrir el PDF.
Aunque este es un vector común de infección para muchos troyanos, es importante que los usuarios practiquen hábitos seguros de Internet y no abran o previsualicen correos electrónicos de remitentes desconocidos, y bajo ninguna circunstancia debe abrir un archivo adjunto que le haya sido enviado por alguien que no conoce.
Instale software sólo de desarrolladores autorizados
Si bien es comprensible que los ordenadores se utilicen para facilitarnos la vida, el software que se ejecuta en ellos interactúa con una gran cantidad de datos potencialmente sensibles y puede ser atacado por los actores de las amenazas o incluso diseñado por ellos. Para minimizar este riesgo, Apple ha implementado varias tecnologías a lo largo de los años, como Gatekeeper y System Integrity Protection (SIP), que sirven para permitir a los desarrolladores de software autorizados con firmas verificadas el derecho a tener sus aplicaciones instaladas en macOS y para evitar que el malware se ejecute protegiendo los directorios del sistema de modificaciones no autorizadas por aplicaciones rouge.
Estas tecnologías vienen activadas, por defecto, pero pueden ser desactivadas manualmente por los administradores. Dadas las amenazas que plantea el malware introducido como troyano, la configuración de Gatekeeper para que permita la instalación de software por parte de la App Store y los desarrolladores identificados es una apuesta segura. Más seguro aún, permitir que el software que viene de la App Store es la mejor protección.
VER: ¿Cree que los ordenadores de Apple siguen siendo inmunes al malware? Este nuevo ataque prueba lo contrario (ConsejoTecnologico.com)
Mantenga actualizados macOS y sus aplicaciones
Las actualizaciones del sistema y los parches a las aplicaciones están disponibles para todas las versiones de macOS en la última década, y sin embargo, todavía encuentro usuarios que se ejecutan en sistemas operativos y aplicaciones anticuados. En este caso en particular, Xagent no tiene suficiente documentación para certificar las afirmaciones de los exploits específicos que se utilizan para llevar a cabo sus comandos; sin embargo, se cree que Komplex tiene vínculos con el vector de infección utilizado por Xagent, y se sabe que Komplex utiliza kits de explotación para infectar a los hosts, de modo que el sistema operativo y las aplicaciones actualizados ofrecen la mayor protección a las vulnerabilidades y exposiciones comunes (CVE.
Supervisar los registros del cortafuegos
El firewall integrado de Apple es mejor que nada, pero su falta de notificaciones requiere que los usuarios revisen los registros de la Consola para determinar si su Mac ha sido infectado e intenten comunicarse con servidores de comando y control (C&C) en cualquier número de dominios, la mayoría de los cuales son inquietantemente similares a los hosts controlados por Apple en un esfuerzo por confundir a los usuarios para que piensen que las comunicaciones son legítimas.
Otra solución es confiar en aplicaciones de firewall de terceros, que suelen ser más robustas y ofrecen un control granular sobre la monitorización de la red, incluida la detección y notificación de las transmisiones de red entrantes y salientes, para ayudar a determinar si tu Mac está intentando «llamar a casa» a un servidor malintencionado o si está recibiendo comandos desde lejos.
Algunos de los dominios C&C conocidos en uso con Xagent son:
- 23.227.196[.]215
- manzanas-iclorados[.]org
- manzana-checker[.]org
- apple-uptoday[.]org
- búsqueda de manzanas[…]info
Instalar software antimalware
Varias de las principales empresas de seguridad ofrecen protección antivirus, incluidas varias aplicaciones gratuitas que se sabe que protegen contra Xagent, y compatibilidad con el análisis de archivos adjuntos de correo electrónico, así como la verificación de URL seguras y la protección de software de rescate integrada.
VER: Política de protección contra el malware (Tech Pro Research)
Proteja sus copias de seguridad de iOS
De forma predeterminada, iOS realiza copias de seguridad de todos los datos de usuario en su ordenador y le permite restaurar los datos, según sea necesario. Con el aumento del uso de teléfonos inteligentes y tabletas, y la dependencia de estos dispositivos para almacenar cantidades cada vez mayores de datos confidenciales y privados, Apple ha permitido a los usuarios optar por encriptar sus copias de seguridad para añadir otra capa de protección a sus datos en el disco duro.
Si bien el cifrado de su copia de seguridad de iOS no impedirá necesariamente que nadie haga una copia de la misma y que los ladrones digitales la retiren de su equipo comprometido, impedirá que accedan a los contenidos de la copia de seguridad, ya que el cifrado distorsionará de forma efectiva los contenidos, haciendo que los datos sean inútiles para todos menos para aquellos que tengan la contraseña para descifrarlos.
Además, si protege con contraseña su copia de seguridad de iOS (lo que debería hacer), no socave la protección de cifrado eligiendo una contraseña fácil de adivinar que sea fácil de descifrar: elija una contraseña compleja y larga que utilice varios espacios clave y que sea única de todas las demás contraseñas que utilice. No guarde esta contraseña en texto plano en su computadora, teléfono o en una nota adhesiva en su escritorio. Recuerda: No comparta su contraseña con nadie y, si es posible, utilice un administrador de contraseñas cifradas para almacenar la clave para mayor seguridad.
Para comprobar manualmente si tu Mac ha sido comprometido por Xagent, ve a las siguientes rutas de directorio y verifica si estos archivos existen:
/Usuarios/$USER/Biblioteca/Agentes de lanzamiento/com.apple.updates.plist/Usuarios/Compartidos/.local/kextd
Si lo hacen, es un buen indicador de que su equipo puede estar infectado. Debe eliminar los archivos de forma permanente e inmediata y ejecutar un análisis del sistema completo con un escáner antivirus para eliminar cualquier amenaza persistente detectada.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves