Menú principal

viernes, 16 de marzo de 2012

El troyano OSX/Imuler camuflado como fotografías

Durante el mes de Septiembre de 2011 se descubrió la existencia de un troyano, al que se le llamó OSX/Imuler, que se estaba distribuyendo simulando ser un documento PDF. El truco que utilizaba es una sencilla operación de ingeniería social en la que una aplicación cambia el icono para simular ser un documento y cuando se ejecuta abre el documento.

Ahora desde Intego informan de que ha vuelto a resurgir el troyano, pero ha sido descubierto en ficheros comprimidos de imágenes no detectados con las firmas XProtect de OSX/Imuler en la que una de ellas resulta no ser tal imagen sino una aplicación tal y como se puede ver en la imagen siguiente del contenido del archivo comprimido "FHM Feb Cover Girl Irina Shayk H-Res Pics.zip".

Figura 1: OSX/Imuler camuflado como foto en el segundo archivo de la segunda fila

Si el ojo no es rápido, seguramente darse cuenta de que una de ellas, concretamente el segundo archivo de la segunda fila, tiene extensión app no es tan sencillo, por lo que puede llevar a que un usuario distraído acabe por ejecutar ese programa.

Este mismo truco se puede ver en la captura siguiente de un archivo comprimido llamado "Pictures and the Ariticle of Renzin Dorjee.zip” en el que se puede observa como el tercer archivo es una applicación.

Figura 2: OSX/Imuler camuflado como foto. Tercer archivo.

Una vez ejecutado el troyano se instala inicialmente en /tmp/.mdworker y un proceso llamado .mdworker es lanzado. El nombre simula ser el proceso mdworker (sin punto) que utiliza el servicio de indexación de Spotlight. Además se instala un fichero de agente en ~/library/LaunchAgents/checkvir.plist junto con un fichero ejecutable en la misma carpeta para asegurarse de que el troyano se ejecuta cuando el usuario inicia sesión en Mac OS X. Después de reiniciarse el equipo, el proceso .mdworker es eliminado y se ejecuta sólo el agente checkvir.

El malware es un troyano en toda regla que recoge datos de las cuentas de usuario, capturas de pantallas y que genera un identificador único para la máquina dentro de la botnet a la que pasa a servir, enviando todos los datos a un servidor remoto que controla las acciones de éste. Además, dependiendo de las acciones el malware actúa como un dropper descargando nuevos módulos para realizar más ataques.

Si no se ha seleccionado la opción de mostrar las extensiones de los ficheros en las preferencias del Finder, este engaño es casi imposible de detectar, por lo que es conveniente tener esta configuración activa para ayudar a evitar los ataques de este tipo.

Figura 3: Opciones de Finder para mostrar extensiones de archivos

Como recomendaciones generales para protegerse contra el malware en Mac OS X os recomendamos que extremeis las precauciones habituales con archivos descargados desde Internet, que actualicéis todo el software del sistema operativo y aplicaciones instaladas y que tengáis instalado una solución antimalware para Mac OS X con protección en tiempo real.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares