Menú principal

miércoles, 2 de noviembre de 2011

DevilRobber.A (a.k.a. OSX/Miner-D) va a por tus datos

Ya hay disponible más información del troyano de Mac OS X que quiere robarte tus BitCoins o generarlos con tus GPUs, al que incialmente conocimos como DevilRobber.A, y que otros han bautizado como OSX/Miner-D. Como ya se sabía, este troyano tiene capacidades de R.A.T. (Remote Administration Tool), al permitir el envío de comandos y ejecucicón de los mismos en la máquina infectada, pero tras un análisis más minucioso del mismo por parte de Shopos, ya sabemos más de su comportamiento.

El programa se ha distribuido oculto en copias piratas de Graphic Converter 7.4, que estaba disponible a través de servidores BitTorrent, aunque no se sabe si está includio en algún otro tipo de software pirata. Este truco no es nuevo, ya que se hizo de igual forma con copias piratas de Apple iWork en el pasado.

También se conoce ya que el malware viene con capacidades de hacer screenshots de lo que el usuario está viendo por pantalla, para conocer la actividad exacta de cada víctima en un determinado instante.

Código de generación de screenshots e DevilRobber.a (OSX/Miner-D)

Además, el programa viene dispuesto a robar los datos más importantes del usuario infectado, así que va a por el historial de navegación de Apple Safari, los datos almacenados en volumenes TrueCrypt montados en el equipo, la información almacenada por el plugin Vidalia de Firefox, que se usa para realizar conexiones TOR, y el historial de comandos del usuario almacenados en el archivo .bash_history. Toda esta información se vuelca en un archivo dump.txt y se envía directamente al master de la botnet.

Parece que los tiempos en que el malware de Mac OS X era poca cosa, o directamente arte, se quedaron en el pasado.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares