Menú principal

lunes, 26 de septiembre de 2011

OSX/Imuler: Un troyano para Mac OS X disfrazado de PDF

Haciendo uso del viejo truco de la doble extensión, es decir, mediante un nombre .pdf.exe, se está distribuyendo este troyano para Mac OS X, al que se le ha catalogado como OSX/Imuler. Esta muestra de malware, al igual que se ha hecho durante mucho tiempo en plataformas Microsoft Windows, utiliza un icono de documento PDF para intentar engañar al usuario y, una vez que se consigue que la víctima lo ejecute en el sistema, descarga un documento en PDF para tranquilizar al nuevo infectado, haciédole creer que nada ha pasado.

En esta ocasión, el documento elegido tiene que ver con la polémica existente entre China y Japón por la soberanía de unas islas, conocidas como Diaoyu para China y como Senkaku para Japón. El documento está escrito en Chino, así que el objetivo del malware parecen ser usuarios de esa nacionalidad.

Figura 1: PDF usando en el engaño

Una vez ejecutado en el sistema se conecta de forma reversa a unos servidores desde los que se controlan las víctimas, es decir, realiza conexiones reversas al panel de control para saltarse mejor los firewalls. En el sistema queda instalado en forma de dos archivos, y no tiene protección contra el borrado, es decir, no hay procesos comprobando que el troyano se elimine, por lo que basta con quitar estos dos ficheros del sistema.

/users/%user%/library/LaunchAgents/checkvir
/users/%user%/library/LaunchAgents/checkvir.plist

La difusión del mismo no ha sido masiva, ya que el hacer uso de extensión .exe en ficheos limita muchísimo su paso por firewalls HTTP y, por supuesto, como fichero adjunto en correos electrónicos, donde parece que sería el hábitat natural para el que se crea un engaño de documento PDF.

El malware ha sido descubierto por el equipo de seguridad de F-Secure, y quizá, lo más interesante de esta noticia sea la aparición de nuevos troyanos preparados para ejecutarse en Mac OS X. Tal vez, cuando elijan métodos más peligrosos de difusión que el engaño de la doble extensión, como aprovecharse de 0-days o buscar infecciones auto-distribuidas utilizado redes sociales, este tipo de amenazas sea mucho mayor.

Por si acaso, hay que ir preparándose para lo que pueda venirnos en el futuro, que con el aumento sostenido de cuota de uso de Mac OS X seguro que se va a atraer a la industria del malware de manera más intensa.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares