Investigadores de Malwarebytes han descubierto una nueva variante de un instalador de adware que aprovecharía un viejo truco para acceder al llavero en MAC OS X.
Recientemente se identificó una vulnerabilidad de elevación de privilegios locales (LPE) en el sistema operativo Mac OS X, que fue explotada para agregar software no deseado como Genieo, VSearch, etc.
A pesar de que parecía resuelto con Yosemite 10.10.5, los expertos de Malwarebytes informan sobre el nuevo frente de ataque (basado en la variante mencionada).
¿Cómo actúa?
En esta ocasión, el instalador pide primero introducir la contraseña del administrador (hasta aquí «normal»). Seguidamente, lanza una petición de permiso para acceder al llavero del usuario de OS X. A continuación, simula automáticamente un clic en el botón «Permitir» (tan pronto como aparece). Y mediante este último paso ya habría conseguido el acceso a la lista de extensiones de Safari.
Lo preocupante, del acceso al llavero es que se utiliza para almacenar información sensible. Y los expertos advierten que el adware se podría mejorar para acceder a las contraseñas de los usuarios de iCloud o cualquier otra información almacenada en el llavero.
Por ejemplo, la compañía Myki reveló un método para hackear el llavero. Sus investigadores desarrollaron un exploit que puede robar contraseñas del llavero y enviarlas al atacante a través de SMS.
httpv://youtu.be/ij3doP-0MdA
En resumen, cuidado con los archivos y contenidos de dudosa procedencia.
(Ayuda: Herramienta Malwarebytes para OS X)
