Cómo depurar ventanas emergentes de malware en Safari

Navega tus respuestas
1

Alrededor de una vez al día, se abre una nueva pestaña en segundo plano y comienza a descargar automáticamente un software probablemente fraudulento disfrazado de "flash player". Traté de solucionarlo haciendo las cosas recomendadas en línea, pero no pude encontrar la causa o evitar que vuelva a suceder.

Comenzó o mejor, comencé a notarlo, cuando comencé a usar Safari después de actualizar mi instalación actual a Mojave cuando salió. Antes de usar Chrome.

Aquí lo que pasó y lo que intenté:

  • Revisé mis extensiones. Las únicas extensiones que tengo en safari son: 1password, buffer, getpocket y todoist, que son todas por lo que sé de compañías de gran reputación.
  • Descargué y corrí malwarebytes que no encontraron nada
  • Hice un análisis completo con Avast Business Antivirus * que no encontró nada
  • No tengo perfiles personalizados instalados, ya que no hay una pestaña Profiles en mi System Preferences
  • Sigo usando Chrome y no experimenté nada similar.

Podría ser un sitio web malicioso o un anuncio malicioso en un sitio web. No revisé todas las veces, pero cuando lo hice solo tenía pestañas abiertas en páginas como stackoverflow, aws.com, jira y mi servidor.

¿Qué más puedo verificar?

Esta es una de las páginas que está abierta. No visite la página si no sabe lo que está haciendo ... http://flashupdate.f1g35qioffhthyu3b6wz.icu/fpud/index.htm?cbred=fs.344ephsyypn5bg4frlcyucn193vljeu.club&cep=vtZ7fu9RElRgsoKFM9_YSnk0SYRzD91E66GwQEGxKK8PvVwfWQZPKlMyMV9-nRmQrGXv8M8MtiF7ozOPKwuTrguO5_Nnkbd9uMN0n4ah0d0l02e0BubCt9iiqnH4-6eWep3ORE5Ap9jmrp8I8BlSuJPgxBvO-9t-wD-ApotpfUV3XThVu-oIWLO7E0yzVxHjrOSRK2fFIK0vmneesg4zO4d62E94G8lBx1DfiZWWUawzWn8R1KaNsd46zzT8G3_NoRDveloFgWdZZ9xqF5dl5fyrAUHEJwyQwIzVjwWeQ0SC0NDu5syuKaIRF2SGfwzgxTgQYCuS4a6u06iAvRK1DA&zone=1806371-363340319-0&lang=EN&cid=15396045451420581365032245711614177&time=1539604547&campaign=125927820&redirection_cost=0.03

* este es el viejo cuaderno de mi empresa que recibí cuando dejé mi antigua empresa.

[update◆

Aquí está el contenido de las carpetas de la biblioteca que TJ Luoma recomendó retirar. 

ls ~/Library/LaunchAgents
com.adobe.AAM.Updater-1.0.plist
com.adobe.GC.Invoker-1.0.plist
com.dropbox.DropboxMacUpdate.agent.plist
com.valvesoftware.steamclean.plist
net.tunnelblick.tunnelblick.LaunchAtLogin.plist
org.virtualbox.vboxwebsrv.plist

ls /Library/LaunchAgents/
com.adobe.AAM.Updater-1.0.plist
com.adobe.ARMDCHelper.cc24aef4a1b90ed56a725c38014c95072f92651fb65e1bf9c8e43c37a23d420d.plist
com.adobe.AdobeCreativeCloud.plist
com.adobe.GC.AGM.plist
com.adobe.GC.Invoker-1.0.plist
com.avast.userinit.plist
com.cisco.anyconnect.gui.plist
com.google.keystone.agent.plist
com.googlecode.munki.ManagedSoftwareCenter.plist
com.googlecode.munki.MunkiStatus.plist
com.googlecode.munki.managedsoftwareupdate-loginwindow.plist
com.malwarebytes.mbam.frontend.agent.plist
com.nvidia.CUDASoftwareUpdate.plist
jp.co.canon.CUPSSFP.BG.plist
org.macosforge.xquartz.startx.plist

ls /Library/LaunchDaemons/
com.adobe.ARMDC.Communicator.plist
com.adobe.ARMDC.SMJobBlessHelper.plist
com.adobe.adobeupdatedaemon.plist
com.adobe.agsservice.plist
com.avast.init.plist
com.avast.uninstall.plist
com.avast.update.plist
com.cisco.anyconnect.vpnagentd.plist
com.google.keystone.daemon.plist
com.googlecode.munki.logouthelper.plist
com.googlecode.munki.managedsoftwareupdate-check.plist
com.googlecode.munki.managedsoftwareupdate-install.plist
com.googlecode.munki.managedsoftwareupdate-manualcheck.plist
com.grahamgilbert.crypt.plist
com.malwarebytes.mbam.rtprotection.daemon.plist
com.malwarebytes.mbam.settings.daemon.plist
com.zenmate.charon-xpc.plist
net.tunnelblick.tunnelblick.tunnelblickd.plist
org.macosforge.xquartz.privileged_startx.plist
org.virtualbox.startup.plist

Todos me parecen legítimos. com.grahamgilbert.crypt.plist es de una herramienta que el antiguo departamento de TI usó para aplicar el cifrado en las máquinas. ( enlace de github )

[actualización 2]

basado en la pregunta de Geoff, también verifiqué el panel "Automatización" en el prefijo "Seguridad y privacidad" y la configuración emergente de Safari, pero ambos parecen inocentes. El 10.101.101.23 es mi servidor local que ejecuta notebook jupyter.

"Desafortunadamente" no hubo más ventanas emergentes . Quizás fue una serie de anuncios maliciosos en uno de los sitios aparentemente de buena reputación que estaba usando.

Panel de "Automatización" en prefpano "Seguridad y privacidad" "Panel de automatización" en "Seguridad y privacidad" prefpane

configuración emergente de Safari

    
pregunta Framester 15.10.2018 - 17:48

1 respuesta

4

Primero que nada, analicemos esto. Parece que hay cuatro cuestiones distintas aquí:

  1. Por lo tanto, estás experimentando ventanas emergentes de phishing no deseadas, especialmente relacionadas con la que has vinculado.

  2. Le preocupa que posiblemente ya haya malware en su máquina, lo que provoca estas ventanas emergentes.

  3. Crees que esto puede tener que ver con Safari en lugar de con Chrome.

  4. Estás preguntando cómo "depurar" esto.

Entonces, analicemos esto.

  1. El enlace en particular que citó es muy interesante, porque es una variante de malware muy muy nueva. Seguí adelante y lo probé, y todos los certificados de firma y los certificados SSL utilizados siguen siendo válidos y se infectan con éxito. El paquete del instalador se firmó el viernes (hace cuatro días), y por fechas de modificación, parece que el código para esto se terminó el día 15. (Ahora he reportado todo esto a Apple y a los diversos emisores de certificados SSL y espero que todo esto se revoque en las próximas 24 horas). Y, afortunadamente, un escaneo de Malwarebytes lo detectó como una variante y lo atrapó; fue capaz de limpiar todo.

  2. Por lo tanto, si ha realizado un análisis reciente de Malwarebytes (además de los pasos que ha tomado anteriormente), diría que es muy poco probable que esté infectado.

  3. Entonces, teniendo en cuenta lo nueva que es esta pieza de malware, ¿está seguro de que este comportamiento no se produce también en Chrome? Porque cuando visito ese enlace en Chrome, también se "verifica" allí. Por el momento.

  4. Realmente, IMHO, todo se reduce al tema de las ventanas emergentes. La cosa es, Safari, por defecto, bloquea todas las ventanas emergentes. ¿Has desactivado esto? ¿Ha incluido en la lista blanca ciertos sitios para permitir los elementos emergentes de ellos? Porque esa es la única manera en que realmente puedo pensar por qué obtendrías ventanas emergentes en absoluto, y no has mencionado nada sobre la comprobación de la configuración de Safari que no sean tus extensiones y complementos. Sin embargo, también es posible que alguna otra aplicación que haya sido comprometida; casi cualquier cosa puede ejecutar algo como: 

    #!/usr/bin/env osascript

tell application "Safari"
  tell front window
     make new tab at end of tabs with properties {URL:"https://apple.stackexchange.com/questions/339620"}
  end tell
end tell

    Pero deberías haberlo autorizado para controlar Safari. Si ingresa a su panel de seguridad y privacidad, ¿qué ha autorizado en "Automatización" para controlar Safari o los eventos del sistema?

respondido por el Geoff Nixon 23.10.2018 - 05:37

Lea otras preguntas en las etiquetas

¿Busca una lista de aplicaciones instaladas que ya no se pueden ejecutar porque no se han actualizado con el sistema operativo actual? [cerrado] ¿Cómo eliminar notas de voz en macOS Mojave?