A los usuarios de OS X les gusta burlarse de los usuarios de Windows como los únicos que tienen un problema de malware. Pero eso simplemente ya no es cierto, y el problema ha aumentado dramáticamente en los últimos meses. Únase a nosotros para exponer la verdad sobre lo que realmente está sucediendo y, con suerte, advertir a la gente sobre la muerte inminente.
Dado que en realidad es Unix bajo el capó, OS X tiene cierta protección nativa contra los peores tipos de virus. Pero el problema en estos días no son los virus que rompen completamente su computadora, es el software espía, el software basura y el adware que se infiltra en su computadora, secuestra su navegador, inserta anuncios y rastrea lo que está mirando. Y gran parte es legal, porque te engañan para que hagas clic en lo incorrecto durante un instalador.
RELACIONADO: Download.com y otros combinan Adware para romper HTTPS estilo Superfish
Y ahora, los sitios de descarga, los anuncios falsos de software en los motores de búsqueda y las aplicaciones incompletas están agrupando adware y crapware en instaladores de software legítimo. Ya no puede asumir que está seguro porque está en OS X. Debe tener cuidado con lo que descarga y en lo que hace clic.
Si no cree que esto sea importante, piénselo de nuevo. Estos programas publicitarios se insertan directamente en el navegador, y se analizan y ejecutan incluso en sitios seguros como su banco, el sitio de la tarjeta de crédito y el correo electrónico, y envían datos a sus servidores. No están usando un proxy de secuestro de HTTPS todavía por lo que podemos decir durante nuestra investigación, pero es solo cuestión de tiempo, y es posible que ya lo estén haciendo y aún no hemos encontrado la prueba.
Dado que nosotros mismos somos principalmente usuarios de Mac aquí en How-To Geek, realmente esperamos que Apple adopte una táctica diferente con este problema que Microsoft con Windows y no permita que estos estafadores destruyan su plataforma.
Crapware incluido para OS X empeora cada día
No fue hace mucho tiempo que podía instalar casi cualquier cosa para OS X desde casi cualquier sitio web, y realmente no tenía que preocuparse por lo que hacía clic. Eso ya no es cierto, y si bien las cosas están mejor que en Windows, en este momento es solo cuestión de tiempo.
RELACIONADO: Esto es lo que sucede cuando instala las 10 mejores aplicaciones de Download.com
Todavía tiene una fuente segura de software con la Mac App Store, pero el problema es que no todos los proveedores venden su software a través de la App Store, y muchos de ellos venden versiones anteriores allí y tienen la última versión en su propio sitio web. Si te quedas en la App Store, no tienes nada de qué preocuparte. Nos encantaría ver a Apple solucionar algunos de los problemas de la App Store y hacer que todos la usen.
Al igual que en Windows, no tiene que buscar más allá de las descargas de CNET para encontrar crapware incluido ... incluso para Mac. Así es, se han vuelto multiplataforma con estas tonterías. Y lo han empeorado, porque tiene un botón Instalar o un botón Cerrar. ¡Ya ni siquiera hay un Declive! Al hacer clic en Cerrar, el instalador se cierra por completo. Entonces, o ha incluido crapware que secuestra su navegador, o no puede instalar esa aplicación.
El de la captura de pantalla instala Spigot y un montón de tonterías que redirigen su navegador a Yahoo, instala un montón de complementos no deseados y, en general, hace llorar al monstruo de los espaguetis voladores. Es sorprendente la cantidad de dinero que Yahoo debe invertir en estas cosas para secuestrar su navegador en su motor de búsqueda ... cuando ni siquiera es de ellos. Yahoo Search es en realidad solo una versión renombrada de Bing. Oh bien.
¡Oh mi! En la siguiente pantalla, el instalador finalmente le permite rechazar algo nuevamente. Tal vez lo que aparece en la captura de pantalla sea tan malo que incluso las descargas de CNET no quieran forzarlo. No es buena señal.
Por supuesto, no son solo las descargas de CNET las que hacen el paquete; encontramos una serie de otras aplicaciones que se distribuyen en sitios de descarga de software gratuito que están haciendo su propio paquete. Por ejemplo, YTD que carga software publicitario secuestrador de HTTPS para Windows tiene una versión para Mac. Y también están agrupando Spigot. ¿Quieres descargar algo? ¿Por qué no descargas uTorrent de su sitio web? Parece que a la gente le encanta usar eso. Ohhh.
El problema empeora mucho, mucho más cuando intenta buscar software gratuito con su motor de búsqueda favorito. Vale la pena señalar aquí que Google acaba de empezar a intentar prohibir el crapware incluido de sus resultados y anuncios, pero lamentablemente Yahoo y Bing no tienen el mismo nivel de asombro. De hecho, son simplemente terribles.
Si usted es un usuario regular promedio y busca en Yahoo "descarga de vlc", se le presentará algo que se parece a la siguiente captura de pantalla. Y cada cosa en la página es en realidad un enlace a un instalador de crapware incluido para VLC, y casi todos son multiplataforma y funcionan en OS X. Y el texto que dice "anuncio" es casi invisible.
Cuando un usuario desprevenido intenta usar uno de estos instaladores, se le presentará una pantalla similar a esta ... que instala el InstallMac horrible que secuestra todo y coloca adware en su sistema - es terrible. Y, por supuesto, la siguiente pantalla intenta que instales algo más que no necesitas. Y luego algo más. Es tanta basura.
Hemos encontrado mucho más software que se ofrece de esta manera, con un montón de instaladores de casi todas las empresas de instalación de crapware incluidas. Aquí hay un contenedor de instalación para OpenOffice incluido con una pieza de adware realmente pésima que simplemente se apodera de su navegador. Sí, volvimos a buscar OpenOffice en Yahoo e hicimos clic en lo que en realidad pensamos que era el sitio real porque el texto del "anuncio" era tan pequeño que no podíamos notar la diferencia. Y esto es lo que surgió.
Está a punto de convertirse en una epidemia para los usuarios de Mac. Entonces, ¿qué tenemos que esperar?
El adware y el malware en OS X son casi tan horribles como en Windows
Cuando logra infectarse con algo, la mayoría del adware, malware y spyware en OS X intentará infectar su navegador de alguna manera, secuestrando su Nueva pestaña, búsqueda y páginas de inicio, inyectando anuncios en las páginas y al azar apareciendo alertas de soporte técnico desagradables. La mayor parte no borrará su disco duro ni nada realmente terrible ... pero según la creciente sofisticación que estamos viendo, es solo cuestión de tiempo.
Muchos de estos secuestradores del navegador insertarán anuncios que muestran mensajes emergentes que no se pueden descartar sin importar lo que haga, como puede ver en la captura de pantalla anterior. Y aparecerán aleatoriamente todo el tiempo mientras navega, y debe CMD + Q para cerrar la aplicación por completo y deshacerse de ellos. Esencialmente, su navegador se vuelve completamente inútil.
El adware más simple se instalará en su navegador como una extensión y restablecerá todas sus páginas para que pasen por su terrible motor de búsqueda. Y con eso nos referimos principalmente a Yahoo ... pero hay muchos otros como searchmoose, search-quick y searchbenny que usan sus propios motores de búsqueda falsos. Algunos de ellos lo redireccionarán a Bing, pero nunca directamente. Siempre es a través de un intermediario como Trovi.
La mayoría de los anuncios que se inyectan intentarán engañarlo para que instale aún más anuncios utilizando mensajes de complementos de Java falsos o mensajes que le indican que instale un códec o una nueva versión de Flash. Todos estos son falsos, por supuesto, y solo instalarán aún más crapware y malware en su computadora. De vez en cuando, uno de ellos intentará publicar una pieza de adware de Windows, pero en su mayor parte son lo suficientemente inteligentes como para saber que es un usuario de Mac y ofrecer la pieza de basura adecuada.
Gran parte del adware redirigirá su motor de búsqueda a un motor de búsqueda falso que se parece mucho a Google o Bing, pero todos los resultados no son más que anuncios.
Y luego comenzará a hablarte aleatoriamente. Literalmente. Reproduce anuncios de audio a través de sus altavoces. Escuchamos un anuncio de Northrup Grumman. ¿Qué tan loco es eso? (Estamos bastante seguros de que no saben de esto).
Acabamos de mostrar algunos de los molestos programas publicitarios, pero gran parte del crapware incluido también es bastante pésimo, y casi todos los paquetes de crapware que encontramos, y casi todos los anuncios publicitarios intentaron hacernos instalar MacKeeper. No sabemos mucho al respecto, aunque planeamos investigar cómo funciona porque estas tácticas son cuestionables.
La mayor tendencia que hemos notado en el adware es que casi todos intentan redirigir su navegador y motor de búsqueda a Yahoo. Alguien de Yahoo necesita ser despedido.
Profundizando: cómo funciona realmente parte de este malware
El simple adware funciona como la mayoría de los programas publicitarios, instalándose en las extensiones de Safari, que es bastante fácil de desinstalar. El problema es que solo algunas piezas de adware funcionaron de esta manera en nuestra investigación.
Todo el secuestro de motores de búsqueda, la redirección de páginas de inicio y las extensiones que inyectan anuncios son una cosa. El mayor problema es el malware grave, que se instala profundamente en el sistema operativo, y la persona promedio nunca podría eliminarlo. No hay desinstalador, no hay un elemento de inicio, no hay complementos en su navegador, extensiones o cualquier otra cosa que parezca estar instalada.
Lo que hay, sin embargo, son anuncios realmente horribles inyectados en todo lo que haces, haciendo que tu computadora sea más lenta que la suciedad. Su motor de búsqueda será secuestrado y es posible que su navegador sea enrutado a través de un proxy. Esto es completamente malware, ya no es solo adware, incluso si accidentalmente olvidó desmarcar una casilla en alguna parte. Funciona de la misma manera El malware Trovi lo hace en Windows , inyectándose en los procesos.
Estas piezas de malware más serias se instalan como un demonio o servicio que se ejecuta en segundo plano y detrás de escena. Puede encontrar estas cosas en la carpeta / Library / LaunchAgents o / Library / LaunchDaemons, que tendrá algunos elementos de aspecto realmente extraño que simplemente no pertenecen. Esta carpeta también podría usarse para cosas reales de aplicaciones reales, así que no limpie esta carpeta por completo ni nada.
Un examen del archivo plist le mostrará dónde reside el malware real, que generalmente se encuentra en una carpeta completamente separada.
Cuando ingrese a esa carpeta y examine el archivo Version.plist, obtendrá más información sobre lo que realmente está sucediendo. Esto se llama Search-Quick y admite el secuestro de Chrome y Safari, así como la compilación nocturna de Webkit por alguna razón.
Al examinar más a fondo, surge algo curioso ... la persona que escribió este malware quería agradecer especialmente a su madre.
Una vez que OS X lanza el malware como un demonio, utiliza una funcionalidad poco conocida en OS X que permite que un proceso se inyecte a sí mismo en otro proceso. Puede ver cómo funciona abriendo una terminal y ejecutando el ejecutable del agente directamente. Lo que realmente está sucediendo es que se adjuntará a su navegador web y se cargará como una extensión oculta. En la captura de pantalla a continuación, puede ver que se activó para el ID de proceso 544, que era Google Chrome. Hará lo mismo con Safari si está abierto.
Esto significa que se está ejecutando software publicitario o malware. dentro de su navegador web, inyectándose en cada página que visita. No importa si está visitando un sitio bancario seguro o no, ya están dentro. Uno de los efectos secundarios de este malware es que toda su computadora será extremadamente lenta, todo el tiempo, sin importar lo que esté haciendo.
Para obtener algunos consejos sobre cómo eliminar software publicitario y malware en OS X, puede leer el documento de soporte de Apple , o simplemente espere nuestros próximos artículos sobre el tema. Investigaremos mucho más sobre todas estas cosas.
Entonces, ¿qué significa todo esto y cómo se protege?
A pesar de que hemos demostrado que el malware, el adware, el crapware y el spyware están empeorando cada vez más en OS X, eso no significa que necesariamente deba preocuparse o instalar Linux o hacer algo drástico. OS X todavía no está siendo atacado tanto como Windows, y todavía existen algunas medidas de seguridad que dificultan el acceso del malware.
Lo más seguro que puede hacer es utilizar la Mac App Store para instalar sus aplicaciones siempre que sea posible. Estas aplicaciones han sido verificadas por Apple y deberían estar bien de usar, y definitivamente no vendrán con ningún crapware o adware incluido.
Restringir aplicaciones que no sean de la App Store
Esto no solucionará el problema por completo, pero puede configurar OS X para restringir automáticamente cualquier ejecutable que no provenga de la App Store. Esto no se aplicará a las aplicaciones que ya estén instaladas en su computadora, sin importar de dónde provengan. Simplemente se aplicará a nuevas descargas.
Dirígete a Preferencias del sistema -> Seguridad y privacidad, haz clic en el ícono de bloqueo en la parte inferior y luego cambia la configuración a Mac App Store en lugar de la predeterminada.
Una vez que hagas esto, intentar ejecutar cualquier cosa que no esté en la App Store mostrará automáticamente un mensaje de bloqueo. Puede optar por abrirlo aún si hace clic con el botón derecho y elige Abrir y luego elige Abrir nuevamente, pero por defecto todo está bloqueado.
Esto no resuelve el problema de las aplicaciones que hacer desea instalar con crapware incluido que requiere la exclusión voluntaria de forma predeterminada. Pero es un gran entorno de seguridad para sus familiares.
Cuando necesite instalar una aplicación desde otro lugar, asegúrese de que sea realmente una fuente confiable y no un sitio falso que ofrece software gratuito de código abierto con un paquete de paquetes.
RELACIONADO: Oracle no puede proteger el complemento de Java, entonces, ¿por qué todavía está habilitado de forma predeterminada?
También debería considerar deshabilitar los complementos de su navegador, para Chrome y Firefox, eso es bastante fácil , para Safari es un un poco mas complicado . Lo más grande que puedes hacer es deshabilitar su complemento de Java , porque es bastante raro que lo necesites y porque Java fue responsable del 91% de los ataques en 2013 . Esto reducirá su probabilidad de ser el objetivo de un ataque de día cero .
Incluso podría ser el momento de comenzar a considerar un antivirus para OS X, al menos si desea instalar una gran cantidad de software de fuentes externas a la App Store. Si no es así, probablemente no sea un gran problema, pero nos estamos acercando al punto en el que será necesario. Lo que todavía no estamos seguros es qué antivirus para Mac vale la pena y bloquea este tipo de cosas; en Windows, la mayoría de los antivirus no bloquean el crapware y el adware incluidos, porque son legales ya que tenía que estar de acuerdo durante el proceso de instalación. Así que no se limite a pagar un antivirus ahora mismo. Solo tenlo en cuenta para el futuro.
Aparte de eso, solo tenga cuidado con lo que hace clic y no confíe en los mensajes de error que aparecen en la ventana de su navegador web. Si ve algo que dice que su computadora está infectada y aparece un mensaje, mantenga presionada la combinación de teclas de acceso directo CMD + Q para cerrar todo inmediatamente.
No hay mejor momento para que los usuarios de Windows se cambien a Mac. Con tanto crapware y adware en desarrollo, se sentirán como en casa. (Estamos bromeando, por supuesto).
