Detectan un adware persistente contra Mac camuflado como un instalador de Flash

A pesar de que su popularidad y uso están cayendo gracias a la expansión de HTML5, Flash sigue siendo una tecnología muy demandada y con bastantes problemas de seguridad, por lo que hackers y cibercriminales todavía se apoyan en la tecnología o la marca para dañar a usuarios finales y empresas.

Malwarebytes informa sobre la detección de una nueva variante del adware Crossrider, que afecta a macOS, mediante un instalador falso de Adobe Flash Player. Que un software se haga pasar por otro no es en sí algo nuevo, pero los métodos que utiliza esta variante de Crossrider sí lo son, ya que utiliza una configuración de perfil para volverse persistente.

La víctima verá un instalador de Flash aparentemente normal, que después de ser abierto tampoco levanta sospechas, aunque en el proceso de instalación introduce en el sistema una copia de Advanced Mac Cleaner que detecta un falso problema utilizando la voz de Siri. Tras esto, Safari se abre y cierra de forma sospechosa, cosa que puede terminar alertando al usuario. Sin embargo, después de desinstalar Advanced Mac Cleaner y eliminar los componentes de Crossrider del sistema, hay un problema que persiste, y es que la página de inicio de Safari está bloqueada para solo mostrar el contenido de un dominio vinculado a Crossrider.

Este bloqueo, que es realizado de forma intencionada por el malware, se produce porque Crossrider instala un perfil de configuración en el sistema. Los perfiles de configuración son un medio que se da a los administradores IT para controlar el comportamiento de macOS dentro de los entornos corporativos, abriendo un campo de posibilidades que no se pueden poner en marcha de otro modo. En el caso que nos ocupa, Crossrider fuerza a Chrome y Safari a abrir siempre la página chumsearch[punto]com, de manera que esto no pueda ser cambiado fácilmente por el usuario.

Por suerte, no estamos ante un problema irresoluble. Para ello el usuario solo tiene que dirigirse a las Preferencias del Sistema y luego hacer clic sobre el icono de Perfiles (que no se verá en caso de no tener ninguno configurado). El perfil malicioso se instala con un identificador de com.myshopcoupon.www que no es visible desde las Preferencias del Sistema. Sin embargo, mientras se va desplazando hacia abajo se puede apreciar la referencia a chumsearch[punto]com. Para eliminar el perfil malicioso solo hay que seleccionarlo y luego pulsar sobre el botón de menos (-) que se ve en la parte inferior izquierda.