En las últimas semanas, investigadores de ciberseguridad han identificado una campaña de ataques dirigida a usuarios de macOS, en la que los atacantes aprovechan certificados de Validación Extendida (EV) legítimos para firmar imágenes de disco (DMG) que contienen payloads maliciosos.

Este enfoque se basa en un viejo principio: explotar la confianza del usuario y de los sistemas de seguridad en las firmas digitales válidas, lo que permite evadir parte de las comprobaciones nativas de Apple y dificultar la detección temprana.

Abuso de certificados EV en macOS

Tradicionalmente, el uso indebido de certificados EV se había visto con mayor frecuencia en entornos Windows, pero ahora la técnica se expande con fuerza al ecosistema de Apple.

Los analistas de inteligencia detectaron múltiples muestras en feeds de malware firmadas con Developer ID Application auténticos. Según el investigador de seguridad g0njxa, se trata de un patrón emergente: los actores maliciosos obtienen (o roban) certificados EV y los utilizan como camuflaje inicial para distribuir software malicioso.

Un caso destacado fue el de un DMG firmado con el Developer ID THOMAS BOULAY DUVAL (J97GLQ5KW9), con hash SHA256 a031ba8111ded0c11acfedea9ab83b4be8274584da71bcc88ff72e2d51957dd7. El archivo incluía un identificador de paquete que imitaba a aplicaciones legítimas bajo el nombre “thomas.parfums”, lo que reforzaba la ilusión de autenticidad.

Vector de ataque: phishing y sitios comprometidos

La distribución se realiza principalmente mediante campañas de phishing y sitios web comprometidos que alojan instaladores falsos de aplicaciones populares.

Al montar el DMG, se ejecuta un AppleScript incrustado que lanza el binario Mach-O. Este contiene referencias codificadas a un host remoto desde el cual se descarga y ejecuta la siguiente fase del ataque.

En pocas palabras: el certificado EV actúa como puerta de entrada de confianza, mientras que el código incrustado se encarga de establecer la comunicación con la infraestructura de mando y control (C2).

Limitaciones de la revocación de Apple

Apple suele revocar los certificados que han sido reportados como abusados. Sin embargo, existe una ventana crítica entre la emisión, el abuso y la revocación que resulta suficiente para que los atacantes logren infecciones iniciales a gran escala.

Pese a que los certificados EV tienen un coste elevado y exigen una validación estricta, los ciberdelincuentes los consideran una inversión rentable, ya que otorgan legitimidad en la fase más sensible del ataque: la entrega inicial.

Recomendaciones de seguridad

Para reducir el riesgo frente a este tipo de amenazas, se recomienda:

• Evitar instalar DMG desde fuentes no verificadas.
• Comprobar siempre el firmante y el identificador del paquete antes de ejecutar el software.
• Mantener actualizado macOS y las soluciones antimalware.
• Descargar aplicaciones únicamente desde canales oficiales como la Mac App Store o sitios web reconocidos del fabricante.
• Implementar controles adicionales en entornos corporativos, como EDRs con capacidad de análisis de comportamiento y bloqueo proactivo.

El abuso de certificados EV en macOS demuestra una vez más que la confianza digital no es infalible. Una firma válida no equivale a seguridad absoluta.

La lección es clara: la confianza debe complementarse con verificación, y los usuarios —tanto domésticos como corporativos— necesitan aplicar capas adicionales de defensa para no caer en la trampa del camuflaje digital.

Más información:

• Hackers abuse EV certificates – CybersecurityNews
• EV certificates and malware – GBHackers
• EV code signing exploited – Cyberpress