La noticia saltaba ayer en todo el mundo: un troyano llamado BackDoor.Flashback.39 (Flashback para los amigos), detectado inicialmente en septiembre de 2011, había infectado a más de 600.000 Macs haciéndose pasar por una actualización del plugin de Adobe Flash Player y evolucionando en los últimos meses para explotar las vulnerabilidades de Java en nuestros equipos.
Su propagación se produce al acceder a webs con un applet Java malintencionado, lo que deriva finalmente en la ejecución de código cuyo objetivo inicial es conseguir permisos de administrador, para lo cual nos pedirá nuestro usuario y contraseña. Si se los damos, el malware hace una serie de comprobaciones en nuestro sistema para instalarse.
Flashback: objetivo y método de infección
Su objetivo final es modificar el contenido de algunas páginas web en nuestro navegador. De este modo podrá, por ejemplo, redirigirnos a una página parecida y mostrar la información para conseguir nuestro usuario y contraseña en determinados sitios. Es decir, se trata de un software diseñado para robar información personal de los usuarios.
BackDoor.Flashback.39 sustrae la información a través del navegador gracias a una vulnerabilidad del paquete Java 1.6.0_29, y que se sepa afecta a equipos con Mac OS X que acceden a páginas con el código malicioso.
El número de páginas infectadas podría ser enorme. De hecho, una SERP de Google de marzo detectó la existencia de por lo menos menos cuatro millones de páginas web comprometidas, lo que ha ocasionado una rápida expansión por la Red, sobre todo en los países de habla inglesa.
Se estima que el total de equipos infectados podría superar los 600.000, con una amplia mayoría ubicados en Estados Unidos (57%), un 20% en Canadá, un 12% en el Reino Unido y un 6% en Australia, como vemos todos ellos países angloparlantes. En otras regiones, como por ejemplo en España, su incidencia ha sido mínima, no alcanzando ni siquiera el 1% de equipos comprometidos (en España se estima que sólo el 0,4%).
Flashback: prevención, detección y eliminación
Según se especifica en la web de seguridad f-secure.com y como bien nos cuentan nuestros compañeros de Applesfera, los pasos para la detección y borrado manuales son los siguientes:
- 1. Ejecutar el siguiente comando en el Terminal: defaults read /Applications/Safari.app/Contents/Info LSEnvironment
- 2. Nos fijamos en el resultado de dicho comando, concretamente en DYLD_INSERT_LIBRARIES
- 3. Si obtenemos el siguiente mensaje de error nos vamos directamente al paso 8: “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist”
- 4. En caso contrario, ejecutar el siguiente comando en el Terminal: grep -a -o ‘ldpath[ -~]*’ path_obtained_in_step2
- 5. Nos fijamos en el valor siguiente a “ldpath“
- 6. Ejecutamos los siguientes comandos en el Terminal (primero nos aseguramos de que sólo hay una entrada, del paso 2): sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
- 7. Borramos los archivos que hemos obtenido en los pasos 2 y 5
- 8. Ejecutamos el siguiente comando en el Terminal: defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
- 9. Nos fijamos en el resultado. El sistema está limpio de esta variante si obtenemos un mensaje de error parecido al siguiente: “The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist”
- 10. De lo contrario, ejecutamos el comando siguiente en el Terminal: grep -a -o ‘ldpath[ -~]*’ path_obtained_in_step9
- 11. Nos fijamos en el valor que sigue a “ldpath“
- 12. Ejecutamos las órdenes siguientes en el Terminal: defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES
- 13. Para terminar, borramos los archivos obtenidos en los pasos 9 y 11.
A continuación, lo que deberíamos hacer es instalar los parches de seguridad que evitarán futuras infecciones, ya sea desde la página de soporte de Apple, o bien desde este enlace para Leopard o desde este otro para Lion.
Más información | f-secure, Cnet
En Applesfera | Cómo saber si estamos infectados por Flashback y cómo eliminarlo
En Genbeta | El troyano Flashback compromete la seguridad de 600.000 Mac en todo el mundo