MacGuard nueva variante de Mac Defender

Las cosas se ponen algo más feas con Mac Defender. No es como para echarse las manos a la cabeza pero digamos que sus creadores no cesan de crear mutaciones de su software con tal de seguir extrayendo información bancaria privada de los usuarios. Ahora la nueva variante se llama MacGuard y es importante que estemos al tanto de sus características.

macguard 786x800 MacGuard nueva variante de Mac Defender

Recapitulemos un poco antes de continuar. A principios de mes apareció un malware llamado Mac Defender, una aplicación que se disfrazaba de antivirus para intentar instalarse en nuestro Mac, tras lo cual nos pedía nuestros datos de crédito para empezar a funcionar. El consejo dado en aquel tiempo era sencillo, andarse con ojo y deshabilitar la opción de Abrir archivos ‘seguros’ al descargarlos si usábamos el navegador Safari para asegurarnos que la instalación no empezase sin nuestra expresa autorización.

Cualquier otra recomendación en este asunto se podría resumir en usar sentido común al navegar por Internet, teniendo cuidado de lo que nos bajamos. Mac Defender solía presentarse en tres variantes MacDefender, MacProtector y MacSecurity y el equipo de programadores que está detrás de este software malicioso hacía una nueva variante cada 12 a 24 horas lo que estaba causando grandes quebraderos de cabeza al personal de soporte de Apple.

Sin embargo hace unos días esta dinámico se detuvo, tal como detectó la gente de Intego, lo que hacía pensar en que estaban desarrollando una nueva estratagema y así ha sido. La nueva versión se llama MacGuard y actúa del siguiente modo

  1. Como sucedía hasta ahora con las otras variantes, la descarga está oculta en los resultados de búsquedas de nuestro navegador. Parece que el equipo de hackers usa el posicionamiento SEO para aparecer en lugares prominentes de los motores de búsqueda.
  2. Si pulsamos en un enlace malicioso, el software empezará su proceso de descarga por lo que aparecerá una venta de instalación. La diferencia en este caso es que ahora no hay necesidad de que introduzcamos nuestra clave de administrador de Mac aunque sigue siendo necesario pulsar la tecla continuar de la ventana. En caso de que se pulse el software instalará un downloader llamado avRunner.
  3. avRunner lanzará automáticamente la descarga de MacGuard tras lo cual se borrará del sistema para no dejar rastro de su existencia en el mismo.

De modo que tampoco es para preocuparse mucho más con MacGuard que con la forma original. La particularidad ahora trata de aprovechar la existencia de otros usuarios que no sean el administrador del Mac para que, ignorantes de la situación o inconscientes del peligro, pulsen en continuar e inicien el proceso por sí mismos. Por eso ahora no pide la clave de administrador del equipo.

Por tanto las recomendaciones dadas hasta ahora siguen siendo válidas: deshabilitar la opción de Safari. Y en el desdichado caso de entrar en alguna página que hospede al software malicioso, en caso de que aparezca una especie de ventana del Finder y se anime al usuario a realizar un scan del Mac en busca de virus (ver la captura adjunta a este post), haremos bien en cerrar la pestaña del navegador y hasta el navegador si lo estimamos necesario, vigilando después de que no se haya instalado nada sospechoso en la carpeta de Descargas o la que tengamos configurada por defecto. En caso de haber ocurrido podemos seguir los pasos mencionados hace unas horas en el post de Jose Carlos.

Recordamos para terminar que Apple está ultimando una actualización de software que parece que evitará todo este malware e incluso lo eliminará en caso de que se haya instalado en el Mac.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s