¿Es posible que un enlace de phishing instale un virus importante en una Mac?

7

Mi novia recientemente había pirateado su cuenta de MS Exchange de la universidad. El atacante se hizo cargo de su cuenta de correo electrónico y comenzó a usarla para enviar miles de correos electrónicos no deseados. Después de un tiempo, su cuenta de correo electrónico debe haber alcanzado algún tipo de límite, y el servidor de la universidad comenzó a enviarle a ella un correo electrónico por cada correo electrónico que el spammer intentó enviar desde su cuenta.

De todos modos, recuerda que accidentalmente hizo clic en un enlace de phishing en un correo electrónico del correo electrónico de su MacBook Pro que decía ser un correo electrónico de los servicios de TI de la universidad, pero eso es todo. Al parecer, el enlace "no hizo nada" y se cerró de inmediato. NO rellenó ningún formulario que le solicitara su dirección de correo electrónico o contraseña.

A pesar de cambiar su contraseña, los atacantes no se detuvieron. ¿Cómo es esto posible? Su cuenta de Exchange está vinculada al sistema de cuentas central de la universidad, pero no estoy seguro de cómo. De todos modos, cambiar una contraseña cambia todo.

Ahora los servicios de TI le están diciendo que vuelva a instalar todo (Mac OS X, archivos, etc.) en su computadora portátil antes de que accedan a reactivar su cuenta de la universidad. Esto me parece mal. ¿Cómo podría infectarse la computadora portátil, si todo lo que hizo fue hacer clic en un enlace en un correo electrónico a través de webmail ? ¿Es eso posible? (Supongo que ella probablemente estaba usando Firefox). Les preocupa que ella tenga un virus rootkit.

Actualización : olvidé mencionar que ella también tenía instalado Sophos. No estoy seguro exactamente de lo actualizado que estaba.

    
pregunta Joseph Humfrey 21.08.2012 - 22:01
fuente

3 respuestas

13

Respuesta : Sí. Es posible. Vuelva a instalar OSX y luego cambie todas sus contraseñas. Ella consiguió phishing.

Los servicios de TI son correctos aquí.

Prevención : Para evitar que esto suceda en el futuro, asegúrese de que comprende la importancia de las actualizaciones y cómo detectar y evitar las estafas de suplantación de identidad (phishing).

Cómo sucedió : Una gran cantidad de atacantes utilizarán URL acortadas o sitios web legítimos con vulnerabilidades XSS en ellos. A pesar de que su universidad escanea los enlaces y correos electrónicos en busca de virus, si el atacante está utilizando un sitio legítimo para atacar, la universidad permitirá que suceda.

A continuación, el enlace en el que hizo clic probablemente la llevó a una página en la que intentó explotar el navegador, atacar adobe flash o contra lo que tu novia no haya actualizado recientemente. Menos probable, pero aún posible, es que pueden haber usado un exploit de día cero, uno para el cual actualmente no hay un parche disponible. Después de este punto, los atacantes podrían hacer lo que quisieran con su computadora portátil, incluida la instalación de software malicioso.

Nota al margen : pregunta en el título "algo ... algo ... virus en una mac" . Contrariamente a la creencia popular, la idea de que una Mac es más o menos segura que una "PC" es una falacia. Si una Mac o una PC están ejecutando un servicio vulnerable, ambos pueden explotarse.

    
respondido por el Rell3oT 21.08.2012 - 22:05
fuente
1

@Ramhound: tendré que estar en desacuerdo con usted sobre "Sophos ... no está diseñado para detectar malware".

Uno de sus (y otros paquetes, propósitos y funciones principales) es detectar malware y virus. El artículo ' Sophos Anti-Virus para Mac Review ' de CultofMac explica la Producto de Sophos bastante bien. Además, este artículo de ArsTechnica va en un poco más de profundidad sobre otros productos antivirus de Mac.

Sin embargo, si el ataque fuera del lado del servidor, probablemente no lo hubiera detectado.

@Joseph Humfrey: ¿Cómo sabes que la Mac estaba realmente infectada? ¿Es posible que atacaran en el lado del servidor y no en el lado del cliente? Parece que ella estaba usando un navegador para acceder al correo electrónico. Es posible que hayan secuestrado la sesión o que haya tenido una contraseña débil o hayan comprometido a Firefox de alguna manera.

En lo que respecta a los rootkits, no hay un montón de rootkits ahora mismo para Mac OS X, especialmente si está actualizado. Aquí hay un comentario en el foro de Sophos Open por parte de sus representantes técnicos al respecto,

  

La mayoría de los informes de rootkit que obtengo para OS X resultan ser personas que   activar el inicio de sesión remoto con autenticación de contraseña y luego tener una   fácil de adivinar inicio de sesión / contraseña combo. Otros han tenido que ver con   personas que han instalado troyanos que cambian la configuración del servidor DNS   para apuntar a un servidor DNS malicioso. Muy pocos realmente podrían ser   considerado un rootkit, y estos han sido principalmente dirigidos (por lo tanto,   una herramienta de detección / limpieza genérica no proporcionaría mucho beneficio).

    
respondido por el AndyMan 23.08.2012 - 20:34
fuente
-3

Otro enfoque para esto habría sido instalar un programa Antivirus y escanear la computadora para ver si había algún problema potencial.

Los principales que vienen a la mente son ClamXav y Sophos. Definitivamente recomendaría hacer esto (aunque podría ser demasiado tarde ahora) en lugar de tener que volver a instalar y luego migrar los archivos. ¿Por qué arreglar algo que ni siquiera podría estar roto? No todos los correos electrónicos de phishing usan exploits basados en OS X.

Ambos programas (Sophos en particular), es muy probable que encuentren algo que pueda estar mal. Aquí hay un enlace a un artículo de lifehacker que revisa los diferentes paquetes de software de Antivirus (también verifican si hay malware, etc.): enlace .

Si realizó una instalación limpia en el MB Pro, lo más probable es que no necesite transferir nada desde ~ / Library o Macintosh HD / Library (mantendría una copia de seguridad si fuera posible, ya que hay preferencias, correo electrónico, notas adhesivas , etc que se almacenan allí). Transferiría Documentos, Escritorio, Descargas, Música, Películas desde Macintosh HD / Usuario /. Además, si tiene alguna aplicación para la que no tiene el disco de instalación, puede intentar transferirlas desde la carpeta / Aplicaciones / Macintosh HD.

Si le preocupa que estos archivos estén infectados, escanéelos con las soluciones AV antes mencionadas.

Una vez más, no lloraría poco y reinstalaría todo. Cuando hacía este tipo de trabajo todos los días en Mac, rara vez era necesario para un problema como este.

Andy

    
respondido por el AndyMan 22.08.2012 - 04:50
fuente

Lea otras preguntas en las etiquetas