Menú principal

sábado, 29 de octubre de 2011

DevilRobber.A: Malware elaborado para Mac OS X que se esconde en aplicaciones piratas distribuidas por BitTorrent

Tristemente, día a día, el número de muestras de malware nueva, y mutaciones de piezas ya conocidas empieza a ser habitual en las plataformas Mac OS X. Si este año comenzamos con el ataque MacDefender y todas sus evoluciones, las adaptaciones de malware como DarkCometX, la aparición de nuevos troyanos como OSX/Imuler (aka OSX/Revir), OSX/FlashBack (aka OSX/QHost.WB) con todas su modificaciones, o el descubrimiento de hace un par de día sde OSX/Tsunami han hecho que ya sea habitual hablar de troyanos y malware en sistemas Mac.

En esta ocasión la amenaza se esconde dentro de aplicaciones piratas que se están distribuyendo a través de servidores Torrent y ha sido descubierto por Intego. Según la información publicada, este troyano, al que se le ha bautizado como DevilRobber, es una pieza de software bastante compleja, que realiza un montón de tareas distintas, todas ellas orientadas al lucro de sus creadores.

El programa, una vez instalado en la máquina, se comporta como un ladrón del dinero virtual que se tenga generado con Bitcoins, una moneda que puede ser generada con potencia de cálculo, y que desde hace algún tiempo se convirtió en objetivo de las mafias. Así, si la máquina infectada no ha generado ningún Bitcoin, este malware puede poner el equipo infectado a trabajar para generar ese dinero, es decir, a hacer mining de Bitcoins, lo que implicará un consumo en rendimiento de la máquina en pro del beneficio del creador del malware.

Figura 1: DevilRobber.A

Además, este software malicioso, como todo buen malware, abre conexiones para recibir comandos desde el panel de control y envía datos personales del usuario a los masters, con lo que pueden información sensible de las víctimas.

Para robar credenciales bancarias, y datos de acceso a sitios de Internet, este software lanza un proxy en local, que corre por el puerto 34522, por el que hace pasar todas las conexiones a sitios web que genera el usuario, robando los datos que por allí pasen, y que el usuario introduzca. Evidéntemente, en el caso de conexiones http-s, saldrá una alerta del certificado que debería llamar la atención del usuario más precavido.

Este truco de distribuirse por medio de copias piratas no es nuevo, y ya había sido utilizado con anterioridad con la famosa iBotnet, al igual que el objetivo de los Bitcoins también había estado en la lista de tareas de otros programas de malware.

Si quieres conocer cómo funciona esta industria del lucro ajeno, te recomendamos que compres y leas el libro de Fraude Online: Abierto 24 horas, escrito por Dani Creus y Mikel Gastesi, del departamento de e-crime de S21Sec, y editado en la Colección de libros de Seguridad de Informática64.

Actualización: A este malware también se le conoce como OSX/Miner-D 

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares