2 votos

Framester avatar

Cómo depurar las ventanas emergentes de malware en Safari

Preguntado el 15 de Octubre, 2018
Cuando se hizo la pregunta
212 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Abierta
Estado actual de la pregunta

Alrededor de una vez al día se abre una nueva pestaña en segundo plano y automáticamente comienza a descargar algún software probablemente estafador disfrazado de "flash player". Intenté solucionarlo haciendo las cosas que se recomiendan en Internet, pero no pude encontrar la causa ni evitar que volviera a ocurrir.

Empezó o mejor dicho lo empecé a notar, cuando empecé a usar Safari después de actualizar mi instalación actual a Mojave cuando salió. Antes usaba Chrome.

Aquí lo que pasó y lo que intenté:

  • He comprobado mis extensiones. Las únicas extensiones que tengo en safari son: 1password, buffer, getpocket y todoist que son todas, hasta donde yo sé, empresas muy reputadas.
  • He descargado y ejecutado malwarebytes que no encontró nada
  • He realizado un análisis completo con Avast Business Antivirus* que no ha encontrado nada
  • No tengo perfiles personalizados instalados, ya que no hay Profiles pestaña en mi System Preferences
  • Sigo usando Chrome y no experimenté nada similar.

Podría ser un sitio web malicioso o un anuncio malicioso en un sitio web. No lo he comprobado siempre, pero cuando lo he hecho sólo tenía pestañas abiertas de páginas como stackoverflow, aws.com, jira y mi servidor.

¿Qué más puedo comprobar?

Esta es una de las páginas que se abre. No visite la página si no sabe lo que está haciendo... http://flashupdate.f1g35qioffhthyu3b6wz.icu/fpud/index.htm?cbred=fs.344ephsyypn5bg4frlcyucn193vljeu.club&cep=vtZ7fu9RElRgsoKFM9_YSnk0SYRzD91E66GwQEGxKK8PvVwfWQZPKlMyMV9-nRmQrGXv8M8MtiF7ozOPKwuTrguO5_Nnkbd9uMN0n4ah0d0l02e0BubCt9iiqnH4-6eWep3ORE5Ap9jmrp8I8BlSuJPgxBvO-9t-wD-ApotpfUV3XThVu-oIWLO7E0yzVxHjrOSRK2fFIK0vmneesg4zO4d62E94G8lBx1DfiZWWUawzWn8R1KaNsd46zzT8G3_NoRDveloFgWdZZ9xqF5dl5fyrAUHEJwyQwIzVjwWeQ0SC0NDu5syuKaIRF2SGfwzgxTgQYCuS4a6u06iAvRK1DA&zone=1806371-363340319-0&lang=EN&cid=15396045451420581365032245711614177&time=1539604547&campaign=125927820&redirection_cost=0.03

* Este es mi antiguo cuaderno de empresa que obtuve cuando dejé mi antigua empresa.

[actualización]

Este es el contenido de las carpetas de la biblioteca que TJ Luoma recomendó revisar.

ls ~/Library/LaunchAgents
com.adobe.AAM.Updater-1.0.plist
com.adobe.GC.Invoker-1.0.plist
com.dropbox.DropboxMacUpdate.agent.plist
com.valvesoftware.steamclean.plist
net.tunnelblick.tunnelblick.LaunchAtLogin.plist
org.virtualbox.vboxwebsrv.plist

ls /Library/LaunchAgents/
com.adobe.AAM.Updater-1.0.plist
com.adobe.ARMDCHelper.cc24aef4a1b90ed56a725c38014c95072f92651fb65e1bf9c8e43c37a23d420d.plist
com.adobe.AdobeCreativeCloud.plist
com.adobe.GC.AGM.plist
com.adobe.GC.Invoker-1.0.plist
com.avast.userinit.plist
com.cisco.anyconnect.gui.plist
com.google.keystone.agent.plist
com.googlecode.munki.ManagedSoftwareCenter.plist
com.googlecode.munki.MunkiStatus.plist
com.googlecode.munki.managedsoftwareupdate-loginwindow.plist
com.malwarebytes.mbam.frontend.agent.plist
com.nvidia.CUDASoftwareUpdate.plist
jp.co.canon.CUPSSFP.BG.plist
org.macosforge.xquartz.startx.plist

ls /Library/LaunchDaemons/
com.adobe.ARMDC.Communicator.plist
com.adobe.ARMDC.SMJobBlessHelper.plist
com.adobe.adobeupdatedaemon.plist
com.adobe.agsservice.plist
com.avast.init.plist
com.avast.uninstall.plist
com.avast.update.plist
com.cisco.anyconnect.vpnagentd.plist
com.google.keystone.daemon.plist
com.googlecode.munki.logouthelper.plist
com.googlecode.munki.managedsoftwareupdate-check.plist
com.googlecode.munki.managedsoftwareupdate-install.plist
com.googlecode.munki.managedsoftwareupdate-manualcheck.plist
com.grahamgilbert.crypt.plist
com.malwarebytes.mbam.rtprotection.daemon.plist
com.malwarebytes.mbam.settings.daemon.plist
com.zenmate.charon-xpc.plist
net.tunnelblick.tunnelblick.tunnelblickd.plist
org.macosforge.xquartz.privileged_startx.plist
org.virtualbox.startup.plist

Todo me parece legítimo. com.grahamgilbert.crypt.plist es de una herramienta que el anterior departamento de TI utilizaba para imponer el cifrado en las máquinas. ( enlace github )

[actualización 2]

Basándome en la pregunta de Geoff, también he comprobado el panel de "Automatización" en el prefano de "Seguridad y Privacidad" y la configuración de las ventanas emergentes de Safari, pero ambos parecen inocentes. El 10.101.101.23 es mi servidor local ejecutando cuaderno jupyter.

"Desgraciadamente" no hubo más ventanas emergentes . Tal vez se trataba de una serie de anuncios maliciosos en uno de los sitios aparentemente de buena reputación que estaba utilizando.

Panel "Automatización" en el prefano "Seguridad y Privacidad" "Automation" pane in "Security and Privacy" prefpane

Configuración de las ventanas emergentes de Safari Safari settings

Preguntado el 15 de Octubre, 2018 por Framester

0 votos

Avatar de moodforaday

¿Has mirado en las carpetas LaunchAgents:( ~/Library/LaunchAgents,, /Library/LaunchAgents/, y /Library/LaunchDaemons/ ) para ver si hay algo ahí que no reconoces?

Comentado el 17 de Octubre, 2018 por moodforaday

0 votos

Avatar de aaplmath

¿Has probado a salir de Safari y a abrirlo con el botón Shift ¿se mantiene pulsada la tecla? (Tenga en cuenta que esto cerrará todas las pestañas abiertas; sé que dijo que no creía que ninguna de ellas estuviera causando el problema, pero podría ser una buena idea descartarlas por completo).

Comentado el 18 de Octubre, 2018 por aaplmath

0 votos

Avatar de Framester

@TJLuoma, he actualizado la pregunta con una lista del contenido de las carpetas, pero no he encontrado nada sospechoso.

Comentado el 22 de Octubre, 2018 por Framester
Mostrar 1 comentarios más

Respuestas

¿Demasiados anuncios?

5voto

Baarn avatar
Baarn Puntos 4579

Así que, en primer lugar, vamos a desglosar esto. Parece que hay cuatro cuestiones distintas aquí:

  1. Así que, estás experimentando popups de phishing de malware no deseados, enlazando especialmente a ese que enlazaste.

  2. Te preocupa que posiblemente haya un malware en tu máquina, causando estas ventanas emergentes.

  3. Crees que esto puede tener que ver con Safari a diferencia de Chrome.

  4. Estás preguntando cómo "depurar" esto.

Así que, vamos a desglosar esto.

  1. El enlace concreto que has citado es muy interesante, porque es un muy nueva variante de malware. Me adelanté y lo probé, y todos los certificados de firma y los certificados SSL utilizados siguen siendo válidos, y se infecta con éxito. El paquete instalador fue firmado el viernes (hace cuatro días), y por las fechas de modificación, parece que el código para esto fue terminado el día 15. (Ya he informado de todo esto a Apple y a los distintos emisores de certificados SSL y espero que todo esto sea revocado en las próximas 24 horas). Y, afortunadamente, un escaneo de Malwarebytes lo detectó con éxito como una variante, y lo atrapó; fue capaz de limpiar todo.

  2. Por lo tanto, si has realizado un escaneo reciente de Malwarebytes (además de los pasos que has tomado anteriormente), diría que las posibilidades de que estés infectado son muy, muy improbables.

  3. Así que, dado lo nuevo que es este trozo de malware en particular, ¿estás seguro que este comportamiento no se produzca también en Chrome? Porque cuando visito ese enlace en Chrome, también se "comprueba" allí. Por el momento.

  4. Así que realmente, en mi opinión, todo se reduce a la cuestión de las ventanas emergentes. La cuestión es que Safari, por defecto, bloquea todas las ventanas emergentes. ¿Has desactivado esto? ¿Has puesto en la lista blanca ciertos sitios para permitir las ventanas emergentes de ellos? Porque esa es la única forma que se me ocurre de que te aparezcan ventanas emergentes, y no has mencionado nada sobre la comprobación de la configuración de Safari, aparte de las extensiones y los plugins. Sin embargo, también es posible que alguna otra aplicación que tengas haya sido comprometida; casi cualquier cosa puede ejecutar algo así:

    #!/usr/bin/env osascript

tell application "Safari"
  tell front window
     make new tab at end of tabs with properties {URL:"https://apple.stackexchange.com/questions/339620"}
  end tell
end tell

    Pero tendrías que haberla autorizado para controlar Safari. Si vas a tu prefano de Seguridad y Privacidad, ¿qué has autorizado en "Automatización" para controlar Safari o Eventos del Sistema?

Respondido el 23 de Octubre, 2018 por Baarn (4579 Puntos )

0 votos

Avatar de Framester

Gracias @Geof Nixon. He comprobado las dos cosas que has mencionado en la segunda parte y he actualizado la pregunta.

Comentado el 24 de Octubre, 2018 por Framester

0 votos

Avatar de snakerdlk

Al hilo de este post, me pregunto qué páginas web visitas. Los sitios más dudosos como el porno o los sitios de torrents muy a menudo le dará estas ventanas emergentes tratando de descargar el malware. Muchos de los sitios más dudosos incluso descargan automáticamente instaladores flash falsos en la carpeta de descarga. Sin embargo, en este caso no hay infección, sólo sitios web muy poco fiables. Me pregunto si ese es el problema subyacente aquí.

Comentado el 24 de Octubre, 2018 por snakerdlk

0 votos

Avatar de Framester

Sí, conozco los sitios. Pero como escribí I only had tabs open to pages like stackoverflow, aws.com, jira and my server.

Comentado el 24 de Octubre, 2018 por Framester

-4voto

Sam avatar
Sam Puntos 3

Safari es bastante fácil de comprometer, todo lo que puedes hacer es borrar todos los archivos relacionados con safari excepto la propia aplicación. Creo que puedes encontrar todos los archivos que necesitas borrar en /Users/yourusername/Library/Safari y ~/Library/Caches/com.apple.Safari/ . Para acceder (y eliminar) los archivos en /Users/yourusername/Library/Safari y ~/Library/Caches/com.apple.Safari/ tendrá que utilizar el sudo rm -R en el terminal.

Borrando todos los archivos de safari:

ASEGÚRESE DE SALIR DE SAFARI ANTES DE HACER ESTO

Tipo sudo rm -R /Users/yourusername/Library/Safari en el terminal, e introduzca su contraseña. sudo rm -R /Users/myusernae/Library/Safari

A continuación, escriba sudo rm -R ~/Library/Caches/com.apple.Safari/ sudo rm -R ~/Library/Caches/com.apple.Safari

Esto debería solucionar su problema

Respondido el 17 de Octubre, 2018 por Sam (3 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X