Calisto: troyano para macOS
¿Será el primero de la familia de malware Proton?
Calisto utiliza una técnica sencilla pero muy efectiva para sus instalación. El archivo de instalación de Calisto es una imagen DMG no certificada que se esconde atrás de una solución de seguridad Intego para Mac.
Como se aprecia en la imagen, luce muy convincente para el usuario, especialmente si este no ha utilizado la aplicación anteriormente.
La instalación comienza solicitando la aceptación del acuerdo de la licencia, con una versión casi igual a la real, luego el supuesto “antivirus” continúa solicitando el usuario y contraseña, lo que no levanta sospecha pues es muy normal cuando se instala un archivo que modifica el sistema en macOS. Pero una vez recibidas las credenciales de acceso el programa se cuelga por un instante antes de reportar que ha ocurrido un error. En la pantalla del error le sugiere al usuario que baje el paquete de instalación del antivirus desde el sitio oficial, como se observa en la siguiente figura.
De esta manera el error pasa casi indadvertido y la version oficial del programa se instalará sin problemas, y mientras tanto Calisto quedó instalado y listo para comenzar a trabajar de forma inadvertida por el usuario.
Una de las funcionalidades mas peligrosas de Calisto es que puede acceder de forma remota al sistema del usuario. Para ello habilita: acceso remoto, compartir pantalla y habilita una cuenta oculta “root” a la cual le asigna la contraseña especificada en el código del troyano.
Para protegerse de Calisto, Proton y otros programas maliciosos análogos:
- Mantenga el sistema OS actualizado a la última versión.
- Nunca deshabilite el protocolo SIP.
- Descargue y ejecute únicamente programas obtenidos de la tiene de Apple (App Store).
- Consulte con un especialista acerca de la conveniencia de utilizar un antivirus en su sistema.
Por un informe detallado puede consultar la siguiente referencia:
https://securelist.com/calisto-trojan-for-macos/86543/