Proton Mac ha vuelto con una nueva e irónica forma de propagación: realizando un spoofing al blog de seguridad de Symantec, para después ser esparcido a través de Twitter.

El sitio falso contenía un blog relacionado a una supuesta nueva versión de CoinThief, una pieza de malware del año 2014. Posterior a un “análisis” de la aplicación, se promocionaba un programa no existente llamado “Symantec Malware Detector” (en el cual se alojaba el malware Proton).

Es sorprendente cómo es que los usuarios fueron engañados. Más allá de que el sitio contenía información real, la dirección URL del mismo era la siguiente: symantecblog[dot]com.

“El sitio es una buena imitación del blog real de Symantec, inclusive replicando el mismo contenido”, comentó Thomas Reed director de Mac & Mobile en los laboratorios de Malwarebytes en un análisis.

 “La información del registro del dominio pareceser legítima a primera vista, usando la misma dirección y nombre del sitio original de Symantec. Sin embargo, la dirección de correo utilizada para registrarse en el sitio no funciona.”

De manera interesante (y maliciosa) el sitio usa un certificado SSL legítimo, firmado por Comodo, la misma entidad certificadora de Symantec.

Mientras tanto, los enlaces del post falso han sido esparcidos por Twitter. Algunas de las cuentas parecen ser falsas, pero otras podrían ser legítimas.

“Debido a que la finalidad del malware Proton es el robo de contraseñas, estas podrían haber sido obtenidas de cuentas vulneradas en un ataque previo,” comentó Reed. “Sin embargo, estas podrían haber sido obtenidas como resultado de las personas que accedieron al sitio falso.”

Usuarios que descargaron y ejecutaron “Symantec Malware Detector” fueron afectados de forma inmediata por el malware, el cual comenzaba a capturar información que contiene contraseñas del inicio de sesión del administrador en texto claro, mientras enviaba información personal de identificación (PII) a un archivo oculto. También capturaba y generaba archivos adicionales como llaveros. A partir del momento en que el malware obtiene la contraseña del usuario, los atacantes podrán descifrar ese llavero.

Reed comentó que Apple está preocupado por este malware y revocó el certificado utilizado para inicio de sesión, con la finalidad de prevenir futuras infecciones por Symantec Malware Detector. Sin embargo, esto no protegerá a los equipos que ya se encuentran infectados.

“Debido a que Proton está diseñado para el robo de credenciales, se necesitarán algunas acciones post infección,” explicó Reed. “Si se cuenta con alguna de las contraseñas que han sido comprometidas y se encuentran públicas en la red, habrá que modificarlas. Es recomendable el uso de distintas contraseñas en cada sitio y el uso de un gestor de contraseñas (como 1Password o LastPass), para mantener el resguardo de las mismas. Desde que 1Password fue afectado por Proton, se debe de verificar que la contraseña maestra no se encuentre en el llavero o dentro del equipo. Esa contraseña es la única que se debería de memorizar y ser robusta.”

Los usuarios deberían considerar además la autenticación mediante doble factor.