Días atrás comenté el caso de una aplicación tipo ransomware que busca engañar a los usuarios de Android para obtener dinero, esta vez la noticia se traslada al mundo de Apple con una variante que busca convencer a los usuarios de Mac para que paguen una supuesta multa.
El gancho es una advertencia falsa del FBI sobre actividades ilegales detectadas en el equipo, la apariencia es bastante convincente como se puede apreciar en la siguiente captura:
Se trata de una página fraudulenta, en la URL del navegador notarán que simula ser la web fbi.gov pero en realidad es un dominio .com registrado la semana pasada (ver whois) que nada tiene que ver con el FBI.
Para atrapar víctimas la página falsa es propagada con diversas técnicas como el Black Hat SEO, una vez que los usuarios terminan en ella lo normal es que la ignoren e intenten cerrarla, pero es ahí donde entra en juego la mejor parte del engaño.
Al intentar cerrarla por medio de un script se comienzan a mostrar alertas en ventanas emergentes que insisten con las actividades ilegales y el pago de la supuesta multa para desbloquear el equipo.
Incluso si se fuerza el cierre de Safari la página vuelve a aparecer gracias a la función de restauración del navegador que carga la última página vista. Esto hace que el engaño sea aún más creíble para muchos usuarios.
Como vemos la técnica es muy similar a la que muchas veces hemos visto en Windows pero con la diferencia de que el equipo no se encuentra infectado o comprometido, no se trata de un troyano o malware para Mac, sólo es código JavaScript en una página que impide cerrar la ventana de Safari.
¿La solución? Es más sencilla de lo que parece, simplemente hay que ir al menú principal de Safari y resetearlo para borrar los datos temporales (cookies, historial y cache). En el blog de Malwarebytes también pueden ver un video con estos pasos y el funcionamiento de este «ransomware».
Otra solución que han comentado los usuarios es forzar el cierre del navegador y al reiniciarlo dejar presionada la tecla de las mayúsculas para que la última sesión no sea restaurada, esto evitará eliminar los temporales y otras configuraciones… aunque es preferible la primera opción para que no queden rastros de esta página spam.