Certificados EV: el nuevo camuflaje del malware en macOS

Tiempo estimado de lectura: 1 minutos, 3 segundos

En las últimas semanas analistas de seguridad han detectado una oleada de ataques contra macOS que utiliza certificados de Validación Extendida (EV) emitidos legítimamente para firmar imágenes de disco (DMG) con payloads maliciosos. La técnica busca explotar la confianza que generan las firmas válidas para sortear detecciones y comprobaciones nativas del sistema.

La campaña emergió cuando varias muestras aparecieron en feeds de inteligencia, todas con firmas válidas de Developer ID Application. Según el investigador ‘g0njxa’, este abuso de certificados EV, aunque conocido en Windows, se está extendiendo con fuerza al ecosistema macOS. Un ejemplo llamativo es un DMG firmado con el Developer ID THOMAS BOULAY DUVAL (J97GLQ5KW9) y SHA256 a031ba8111ded0c11acfedea9ab83b4be8274584da71bcc88ff72e2d51957dd7. La muestra usaba un identificador de paquete que imitaba al firmante “thomas.parfums”, un intento de integrarse en distribuciones legítimas.

El vector inicial parece ser phishing: sitios comprometidos alojan instaladores DMG firmados que suplantan aplicaciones de confianza. Al montarse el DMG, se ejecuta un lanzador AppleScript incrustado; el Mach-O incluido contiene referencias codificadas a un host remoto que orquesta la siguiente fase.

Aunque Apple revoca certificados denunciados, la ventana entre firma y revocación suele ser suficiente para que los atacantes consigan infecciones iniciales. Pese al coste y la verificación estricta para obtener certificados EV, los actores los consideran una inversión rentable para lograr sigilo y legitimidad temprana.

Recomendaciones prácticas: evitar abrir DMG procedentes de fuentes no verificadas; comprobar el firmante y el identificador del paquete; mantener macOS y soluciones antimalware actualizadas; y preferir descargas desde canales oficiales.

La lección es clara: la confianza establecida puede volverse un vector y exigir una verificación adicional más allá de la mera firma.

Más información:

La entrada Certificados EV: el nuevo camuflaje del malware en macOS se publicó primero en Una Al Día.

Artículo de Germán Centeno publicado en https://unaaldia.hispasec.com/2025/10/certificados-ev-el-nuevo-camuflaje-del-malware-en-macos.html?utm_source=rss&utm_medium=rss&utm_campaign=certificados-ev-el-nuevo-camuflaje-del-malware-en-macos

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Certificados EV: el nuevo camuflaje del malware en macOS

Contenidos relacionados

Retos del sector UAS sobre tramitación y normativa: normativa base, desafíos y escenario frontera

Septiembre de 2025: ataques cibernéticos más grandes, ataques de ransomware e violaciones de datos

El Centro de Operaciones Aéreas Combinadas de Torrejón conmemora el Día Nacional de Alemania

You missed

¿Ciencia o retroceso? La paradoja ambiental de la Comisión Europea. Por Cesar Luena (Eurodiputado socialista)

EQA certifica a Prosolia Energy en ISO 9001, ISO 14001 e ISO 45001

La ministra de Defensa mantiene una videoconferencia con los mandos de la Guardia Militar de Fronteras de Ucrania

REPORT on the request for the waiver of the immunity of Ilaria Salis – A10-0183/2025

Entradas recientes

¿Todas tus actividades de auditoría en un solo entorno?
Prueba AltonaSpain, el gestor de auditoría más completo

Certificados EV: el nuevo camuflaje del malware en macOS

Contenidos relacionados

Retos del sector UAS sobre tramitación y normativa: normativa base, desafíos y escenario frontera

Septiembre de 2025: ataques cibernéticos más grandes, ataques de ransomware e violaciones de datos

El Centro de Operaciones Aéreas Combinadas de Torrejón conmemora el Día Nacional de Alemania

You missed

¿Ciencia o retroceso? La paradoja ambiental de la Comisión Europea. Por Cesar Luena (Eurodiputado socialista)

EQA certifica a Prosolia Energy en ISO 9001, ISO 14001 e ISO 45001

La ministra de Defensa mantiene una videoconferencia con los mandos de la Guardia Militar de Fronteras de Ucrania

REPORT on the request for the waiver of the immunity of Ilaria Salis – A10-0183/2025

¿Todas tus actividades de auditoría en un solo entorno? Prueba AltonaSpain, el gestor de auditoría más completo

¿Todas tus actividades de auditoría en un solo entorno?
Prueba AltonaSpain, el gestor de auditoría más completo