A principios de mayo hice referencia a un antivirus falso para Mac que estaba infectando a una gran cantidad de usuarios, desde entonces han aparecido varias variantes y la más reciente tiene la capacidad de instalarse sin solicitar la contraseña del administrador:
El programa se propaga de la misma forma que lo hacen los antivirus falsos de Windows (principalmente envenenamiento de imágenes en Google), lo peor del caso es que en Safari la descarga y la ejecución del programa se realizan de forma automática, esto sucede porque el navegador por defecto tiene activada una opción para abrir algunos archivos luego de ser descargados:
Lo ideal sería tener esa opción desactivada (se encuentra en Preferencias / General), al menos de esta forma se le agrega una interacción más al proceso de infección ya que la instalación del programa se tendría que iniciar de forma manual.
Por más información en español les recomiendo SeguridadApple:
– MacGuard: Nueva mutación del rogue AV MacDefender
– Apple lo asume: Cómo eliminar Mac Defender
En el siguiente video creado por Sophos se puede ver todo el proceso de infección y en esta nota imágenes de la última variante detectada:
Nota aclaratoria: el video muestra el funcionamiento de una de las primeras variantes detectadas, en la última todo es igual salvo que tiene otro nombre y no pide la contraseña durante la instalación.