Mac OS X es atacado, “Thunderstrike” afecta a dispsitivos de marca Apple !

La primera vez que se habló públicamente del bootkit firmware para Mac OS X fue en la 31a conferencia Chaos Computer Club, en Hamburgo, Alemania, el mes pasado.

thunder

El investigador de seguridad Trammel Hudson, desarrolló el bootkit y lo nombró Thunderstrike. Se aprovecha de una vulnerabilidad a gran profundidad en el núcleo del sistema operativo OS X de Apple. De hecho, la vulnerabilidad subyace en todo el sistema operativo. Hudson se puso en contacto con Apple y resolvieron el problema en todos los dispositivos afectados excepto en el Macbook.

Sin lugar a dudas, Thunderstrike, igual que todos los boot- y rootkits, es una amenaza que puede hacerse con el control de todo lo que haces en tu ordenador. Puedes pensar en él como el Ébola de la informática: contraer la enfermedad tiene consecuencias devastadoras, incluso si la probabilidad de contagio es relativamente baja.

Los Bootkits son un tipo de malware rootkit que viven dentro del proceso de inicio del sistema operativo de tu ordenador, controlando completamente las máquinas infectadas. Afectan el Master Boot Record e inician en el dispositivo antes de que el sistema operativo se cargue. Incluso si eliminas tu sistema operativo, el bootkit se mantiene. Los Bootkits son muy resistentes, difíciles de eliminar y también difíciles de encontrar, aunque los productos antivirus más avanzados los extirparán.

Thunderstrike es un bootkit que afecta a los dispositivos Mac OS X, que se pueden instalar a través del acceso directo al hardware o a través de una conexión thunderbolt. El primer caso, infectarse a través del acceso directo al hardware, es poco probable. Si esto ocurriese, el fabricante tendría que instalar el bootkit o el atacante llevarse tu Macbook físicamente e instalarlo en el hardware él mismo.

Sin embargo, el segundo caso, la infección a través de la conexión Thunderbolt, es un poco más viable. De hecho, tenemos un término que define a este tipo de ataques: se les llama ataques “evil made” o ataques financiados por los gobiernos, y se produce, por ejemplo, cuando los ordenadores portátiles son confiscados y examinados en los aeropuertos o pasos fronterizos. Se puede aplicar el mismo método en cualquier momento que estés lejos de tu dispositivo.

Igual que el Ébola, sólo se transmite a través del contacto directo con fluidos corporales, la máquina es sólo susceptible de ser infectada por Thunderstrike si alguien lo coge o introduce una conexión thunderbolt e instala el firmware malicioso en tu Mac a través de un dispositivo periférico.

No se puede eliminar mediante el software ya que controla las claves y el proceso de actualización. Restaurar la SSD no lo eliminará dado que no hay nada almacenado en el disco

Otros tipos de malware son menos dañinos, pero se propagan más fácilmente. Plantea un riesgo mucho mayor para el público en general que el Ébola. Del mismo modo, un malware diseñado para comerse la potencia de procesamiento y ayudar a un botnet, no es tan temible como Thunderstrike, que puede infectar a tu equipo de forma remota a través de una inyección web, un correo electrónico malicioso, un drive-by download y otros, lo cual es mucho más que una molestia pública.

“Debido a que es el primer firmware bootkit del sistema operativo OS X, no existe nada que actualmente detecte su presencia”, dijo Hudson. “Controla el sistema desde la primera instrucción, lo que le permite registrar las pulsaciones de teclado, incluidas las claves de cifrado de disco, colocar puertas traseras en el kernel del sistema OS X y desviar las contraseñas del firmware. No se puede eliminar mediante el software ya que controla las claves y el proceso de actualización. Restaurar la SSD no lo eliminará dado que no hay nada almacenado en el disco”

La mejor forma de protegerse contra Thunderstrike es asegurarse de que nadie accede a tu Macbook cuando tú no estés. En otras palabras, si tienes cuidado, no te infectarán.

Comparte y comenta este reporte !

Sistemas Ayala

Anuncios

Participa y Comparte, deja comentario !

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s