Menú principal

martes, 10 de enero de 2012

Ace in the Hole {OSX/PWS-Corpref}: Un Password Stealer para Mac OS X que vino camuflado como Juego de Poker

De vez en cuando nos gusta echar la vista atrás, para ver cómo ha ido evolucionando el malware en Mac. Así, nos encontramos malware mediático como el Virus de la Paz, el primer malware para computadoras personales de la mano de Elk Cloner, el primer malware artístico por obra y gracia de LoseLose, pruebas de concepto de pharming con DNS Changer, de spyware por obra de Opinion Spy e incluso del primer Rogue AV para Mac de la mano de Mac Sweeper.

Hoy, le toca el turno a Ace in the Hole, bautizado como OSX/PWS-Corpref y también conocido como OSX.Trojan.PokerStealer. Este malware fue descubierto el 20 de Junio de 2008 por Intego y es un sencillo software malicioso escrito en shell script y que pretendía ser un juego de cartas de poker gratuito.

Figura 1: El juego de Poker con el malware

Una vez ejecutado, el Password Stealer, según el análisis de McAfee, además de robar los hashes, intenta engañar al usuario para que le introduzca la contraseña y comprobar que es correcta. Así, muestra un mensaje que dice que hay un fichero de preferencias corrupto que debe ser reparado y que se necesita la password.

Figura 2: Solicitando la contraseña del usuario

Una vez robada la password, el malware modifica los ficheros de configuración para permitir que un atacante remoto se conecte via ssh a la máquina en cuestión. 

Figura 3: Comprueba la password con el hash robado

Los ficheros modificados son:
/System/Library/LaunchDaemons/ssh.plist (En Mac OS X 10.4 y 10.5)
/private/etc/xinetd.d/ssh (En Mac OS X 10.3)
/etc/hostconfig (En Mac OS X 10.2)
Toda la información robada de cuentas, al final era mandada por correo electrónico a través de un servidor controlado por el dueño del malware, que hace tiempo que está bloqueado. Y es que jugar a poker puede ser un riesgo superior a perder un poco de dinero en una mala jugada de farol.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares