Menú principal

lunes, 26 de septiembre de 2011

OSX/Flashback: Troyano para Mac OS X simula ser Flash

Si en el post anterior hablabamos de OSX/Imuler, un troyano para Mac OS X que utilizaba el truco de la doble extensión para simular ser un documento de Adobe PDF, hoy toca hablar de un troyano que simula ser un instalador de Adobe Flash para Mac OS X. El malware ha sido descubierto por el equipo de seguridad de Intego tras la sospecha de una persona que descargó la muestra desde un sitio web. El malware se distribuye como un archivo de instalación, luego si el usuario hace clic sobre el link de descarga desde Apple Safari, la instalación dará comienzo, ya que Safari toma como seguros los archivos .pkg y mpkg.

Figura 1: Instalación de OSX/Flashback.A

Una vez instalado, el troyano carga una librería de carga dinámica .dylib que se instala en la ruta  ~/Library/Preferences/Preferences.dylib, además de código de auto-ejecución que se encarga también de eliminar software de seguridad red, como firewalls o antivirus. Una vez se ejecuta el troyano, se conecta a un servidor remoto enviando información sobre la máquina infectada, tal como la dirección Mac y un identificador único para ser gestionado desde un panel de control, según el análisis realizado por Intego.

El troyano es, de nuevo, de tipo reverso, tal y cómo OSX/Imuler, y además trae medidas de protección de entorno, como la eliminacion de medidas de seguridad tales cómo el firewall, lo que indica que se está creciendo en complejidad en la evolución de los troyanos para Mac OS X, del que ya habíamos visto muestras como DarkCometX o BlackHole R.A.T. - que incluso graba a sus víctimas en vídeo - por no citar el archiconocido Hellraiser, que no era de conexión reversa.

Por supuesto, no se debe descargar ningún componente de instalación de Adobe que no vengan directamente desde la web del fabricante, y se recomienda hacer uso de una solución antivirus que permita tener las firmas actualizadas de este tipo de malware en el mismo momento en que se haga público, como es este caso.

3 comentarios:

  1. "descarga desde Adobe Safari"

    Adobe <> Apple aunque empiecen por A los dos ;-)

    ResponderEliminar
  2. Gracias anónimo, se nos coló. Ya lo hemos cambiado.

    ResponderEliminar
  3. y quien usa Safari en Mac :D !!!

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares