Por Mid 
Certificados EV: el nuevo disfraz del malware en macOS
Tiempo estimado de lectura: 5 minutos • Dificultad técnica: Intermedia
Conclusiones clave
- Aumento en el uso de certificados EV para firmar malware en macOS.
- Phishing como vector inicial para la distribución de DMGs maliciosos.
- La confianza en firmas válidas se convierte en un vector de ataque.
- Importancia de mantener actualizados el sistema operativo y las soluciones antivirus.
- Recomendaciones prácticas para mitigar los riesgos asociados a estos ataques.
Índice
Introducción
En las últimas semanas, varios especialistas en ciberseguridad han identificado un incremento significativo en los ataques dirigidos a macOS, utilizando certificados de Validación Extendida (EV) legítimos para firmar imágenes de disco (DMG) que contienen cargas útiles maliciosas. Esta táctica busca aprovechar la confianza que generan las firmas válidas, evadiendo así las detecciones y verificaciones que realiza el sistema de manera nativa.
Campaña de ataques
La campaña se dio a conocer después de que numerosas muestras comenzaran a aparecer en los feeds de inteligencia, todas con firmas válidas de Developer ID Application. Según el investigador conocido como ‘g0njxa’, el uso indebido de certificados EV, aunque ya es familiar en el entorno de Windows, se está expandiendo rápidamente al ecosistema de macOS. Un caso notorio es un DMG firmado con el Developer ID THOMAS BOULAY DUVAL (J97GLQ5KW9) y un hash SHA256 correspondiente a a031ba8111ded0c11acfedea9ab83b4be8274584da71bcc88ff72e2d51957dd7. Esta muestra utilizó un identificador de paquete que imitaba al del firmante “thomas.parfums”, tratando de confundirse con distribuciones legítimas.
Método de ataque
El vector de inicio de estos ataques parece ser el phishing, ya que sitios comprometidos están albergando instaladores DMG firmados que simulan ser aplicaciones de confianza. Al montar el DMG, se activa un lanzador de AppleScript incrustado; el Mach-O incluido contiene referencias codificadas a un servidor remoto que coordina la siguiente fase del ataque. Aunque Apple tiene la capacidad de revocar los certificados denunciados, el tiempo que transcurre entre la firma y la revocación suele ser suficiente para que los atacantes logren realizar infecciones iniciales.
Prevención y mitigación
A pesar del costo y los rigurosos procesos de verificación requeridos para obtener certificados EV, estos son considerados una inversión valiosa por los actores maliciosos para mantener el sigilo y la legitimidad en las primeras etapas de sus ataques.
Para mitigar estos riesgos, se ofrecen varias recomendaciones prácticas:
- Evitar abrir DMGs provenientes de fuentes no verificadas.
- Verificar el firmante y el identificador del paquete.
- Mantener macOS y las soluciones antivirus actualizadas.
- Descargar aplicaciones únicamente desde canales oficiales.
La conclusión es clara: la confianza que se establece puede convertirse en un vector de ataque, lo que demanda una verificación adicional que vaya más allá de simplemente verificar la firma.