Malware aprobado accidentalmente por Apple para ejecutarse en MacOS. El omnipresente adware Shlayer ha adquirido un nuevo truco, escapándose por primera vez de las defensas de la “notarización” de Cupertino.
Durante décadas, los usuarios de Mac tuvieron que preocuparse menos por el malware que sus contrapartes que usan Windows, pero en los últimos años eso ha comenzado a cambiar. En un intento por tomar medidas enérgicas contra las crecientes amenazas como el adware y el ransomware, en febrero Apple comenzó a “notarizar” todas las aplicaciones macOS, un proceso de investigación diseñado para eliminar las aplicaciones ilegítimas o maliciosas.
Incluso el software distribuido fuera de la Mac App Store ahora necesita la certificación notarial, o los usuarios no podrían ejecutarlo sin soluciones especiales. Sin embargo, siete meses después, los investigadores han descubierto una campaña de adware activa que ataca a los usuarios de Mac con las mismas cargas útiles de antes, y Apple ha certificado el malware en su totalidad.
La campaña está distribuyendo el omnipresente Adware Shlayer, que según algunos casos ha afectado a uno de cada 10 dispositivos macOS en los últimos años. El malware exhibe un comportamiento estándar de adware, como insertar anuncios en los resultados de búsqueda. No está claro cómo Shlayer pasó por alto los escaneos y chequeos automatizados de Apple para ser notariado, especialmente dado que es virtualmente idéntico a versiones anteriores. Pero es el primer ejemplo conocido de malware notariado para macOS.
El estudiante universitario Peter Dantini descubrió la versión notariada de Shlayer mientras navegaba a la página de inicio de la popular herramienta de desarrollo de Mac de código abierto Homebrew. Dantini escribió accidentalmente algo ligeramente diferente a brew.sh, la URL correcta.
La página en la que aterrizó se redirigió varias veces a una página falsa de actualización de Adobe Flash. Dantini, curioso por saber qué malware podría encontrar, lo descargó a propósito. Para su sorpresa, macOS mostró su advertencia estándar sobre programas descargados de Internet, pero no le impidió ejecutar el programa. Cuando Dantini confirmó que estaba notariado, envió la información al investigador de seguridad de macOS, Patrick Wardle. Esperaba que si alguien abusara del sistema de notarización, sería algo más sofisticado o complejo. Pero en cierto modo no me sorprende que fuera el adware el que lo hizo primero. Los desarrolladores de adware son muy innovadores y evolucionan constantemente, porque pueden perder mucho dinero si no pueden sortear nuevas defensas. Y la notarización es una sentencia de muerte para muchas de estas campañas publicitarias estándar, porque incluso si se engaña a los usuarios para que hagan clic e intenten ejecutar el software, macOS lo bloqueará ahora. Patrick Wardle, investigador principal de seguridad en la firma de administración de Mac Jamf.
Wardle notificó a Apple sobre el software fraudulento el 28 de agosto y la compañía revocó los certificados de notarización del Adware Shlayer ese mismo día, neutralizando el malware en cualquier lugar donde estuviera instalado y para futuras descargas. El 30 de agosto, sin embargo, Wardle notó que la campaña de adware todavía estaba activa y distribuía las mismas descargas de Shlayer. Simplemente habían sido notariados con una ID de desarrollador de Apple diferente, solo unas horas después de que la compañía comenzara a trabajar para revocar los certificados originales. El 30 de agosto, Wardle notificó a Apple sobre estas nuevas versiones. El software malintencionado cambia constantemente, y el sistema de certificación de Apple nos ayuda a mantener el malware fuera de Mac y nos permite responder rápidamente cuando se descubre. Al enterarnos de este adware, revocamos la variante identificada, inhabilitamos la cuenta de desarrollador y revocamos los certificados asociados. Agradecemos a los investigadores por su ayuda para mantener seguros a nuestros usuarios. Apple
Apple también hace una distinción en sus materiales de notarización entre su “Revisión de aplicaciones” de iOS más completa y esta verificación para aplicaciones macOS. La notarización no es una revisión de aplicaciones. El servicio de notario de Apple es un sistema automatizado que escanea su software en busca de contenido malicioso, busca problemas de firma de código y le devuelve los resultados rápidamente. Apple Antes de que Apple introdujera la notarización, los desarrolladores de malware simplemente necesitaban pagar 99 dólares al año por una ID de desarrollador de Apple para poder firmar su software como legítimo. Cualquier aplicación que no se descargue de la Mac App Store generaría una advertencia cuando los usuarios intentaran ejecutarla para asegurarse de que los programas descargados de Internet fueran seguros de usar, pero los usuarios pudieran hacer clic fácilmente en ellos.
La notarización hace que sea mucho más difícil implementar malware, o al menos esa es la idea. Wardle dice que en su experiencia al enviar sus propias herramientas de seguridad para su revisión, la verificación inicial automatizada de Apple solo toma unos minutos para emitir una aprobación. Aún así, los malos actores claramente se están escapando. He estado bastante seguro de que las aplicaciones maliciosas pasarían por el proceso de notarización, así que esto no me sorprende. De hecho, había estado considerando escribir una aplicación que exhibiera comportamientos maliciosos clásicos y tratar de que se certificara ante notario. Desafortunadamente, esto me ahorra problemas. Esta es la prueba que he estado esperando que la notarización no sea efectiva. Thomas Reed, director de Mac y plataformas móviles de la firma de seguridad Malwarebytes.
Reed también señala que ha comenzado a ver que el malware de Mac como el software publicitario evoluciona para evitar la notarización. Un método es distribuir software que no está completamente firmado y no aprobado por Apple y engañar a los usuarios para que lo instalen diciéndoles que esperen advertencias de Apple y luego guiándolos a través de los procesos de solución.
Al igual que con cualquier sistema basado en la confianza, la notarización puede ayudar a Apple a mantener la seguridad bastante estricta, pero cualquier cosa que se escape puede propagarse rápidamente porque tiene el sello de la compañía. Esto ya es un problema tanto en la App Store de iOS de Apple como en la Play Store de Google para las aplicaciones de Android examinadas. Las aplicaciones maliciosas a menudo ingresan y luego son descargadas por usuarios desprevenidos.
Los escáneres de malware aún habrían detectado las instalaciones de Shlayer certificadas por notario como maliciosas, pero cualquiera que no ejecute un antivirus no tendría suerte. Cualquiera va a cometer errores al detectar software malintencionado, porque es difícil de hacer. En general, desde una perspectiva de seguridad, sigo pensando que la notarización es un buen paso. Pero el usuario promedio va a confiar en Apple, ¡yo también lo hago! Entonces, si algo dice que está certificado ante notario, es más probable que incluso un usuario consciente de la seguridad confíe en que está bien. Patrick Wardle.