Sí, es una realidad. Si tiene un Mac, tienes que andarte con mucho ojo cuando navegas por Internet. Cada vez resulta más común encontrar amenazas que están programadas para afectar al sistema operativo macOS. Es cierto que el volumen no es equiparable al de Windows, pero es cierto que el número cada vez es mayor. En esta ocasión, expertos en seguridad se han encontrado con una «vieja» conocida. La puerta trasera Calisto, que se distribuyó hace tiempo en Internet vuelve a ser utilizada por los ciberdelincuentes.
Para encontrar su primera aparición hay que retroceder hasta medidos del año 2016. En VirusTotal fue la primera vez que fue analizada esta amenaza. Se mantuvo visible durante unos meses, desapareciendo de la vista de los motores de detección de las principales herramientas de seguridad. No se trata de una amenaza existente para Windows que posteriormente se adaptó el sistema operativo de escritorio de la empresa de la manzana mordida. Desde un principio se diseño pensando en afectar a equipos Mac.
Para aquellos que se vieron afectados en aquel momento por la puerta trasera Calisto, recordarán descargar un archivo .dmg llamado Intego_v9.0.3_websetup. Tal y como suele suceder, se distribuía como una versión de diferentes aplicaciones de pago, pero de forma totalmente gratuita. Puede ser que en alguna ocasión nos encontremos con una ganga de este tipo. Por norma general, si te encuentras con algo de este tipo en Internet no acostumbra a estar asociado a nada legítimo. En este caso, se ofrecía a los usuarios como una herramienta de seguridad para equipos con sistema operativo macOS.
Esto es lo que se encuentra el usuario cuando ejecuta el .dmg descargado:
Obviamente, posee muchas menos opciones que el original, por no decir que el firmante es desconocido.
Calisto engaña por completo al usuario
El usuario realizará la instalación de la herramienta, introduciendo la contraseña del usuario en uso para que se lleve a cabo. Aceptará la política de privacidad de la aplicación y escogerá la carpeta en la que se realizará la instalación.
Todo normal, o, al menos, hasta este momento. Cuando la instalación parece que finalizará de forma exitosa, aparece un error indicando que el paquete descargado no parece ser válido. Adicionalmente, se indica consultar la página del fabricante.
¿Verdad? No. Se trata de un método para hacer creer al usuario que el software no se ha instalado. Sin embargo, sí se ha instalado y se trata de un malware. Para ser más precisos, se trata de un puerta trasera.
Detalles de la amenaza
La puerta trasera crea un directorio llamado .calisto. Será en este donde almacene toda la información necesaria para su funcionamiento. Servirá también como almacén para guardar la información robada. Por ejemplo, las credenciales de acceso a los diferentes servicios utilizados por el usuario, datos de los navegadores web utilizados o información de las redes a las que el equipo se ha conectado en algún momento.
La actividad de la amenaza dependerá de la presencia o no de SIP. Es decir, del System Integrity Protection. Un módulo de seguridad integrado en el propio sistema operativo. Si este no se encuentra activado, la amenaza podríamos decir que se apropia del control del sistema operativo.
Además de todo lo mencionado anteriormente, es capaz de modificar la carpeta Library, montar y desmontar archivos .dmg, activar el acceso remoto al sistema y conectarse de forma periódica con un servidor de control.
En definitiva, una amenaza que habrá que vigilar en las próximas semanas, pero que está llamada a ser protagonista.