Menú principal

lunes, 3 de diciembre de 2012

OSX/Dockster.A: Un spyware para Mac OS X en pruebas

La firma Intego ha reportado el descubrimiento de una nueva pieza de malware para sistemas operativos Mac OS X a través de Virus Total. La pieza de spyware ha sido denominada como OSX/Dockster.A y no se conoce aún el medio de infección que utiliza, pero sí que tiene funcionalidad de backdoor sencilla para ofrecer una shell remota desde la que tiene funciones de dropper para descargar ficheros y activar el keylogging de las pulsaciones de teclado.

Una vez ejecutado en el sistema, el spyware se instala en el directorio del usuario, con el nombre .Dockset, que no es visible inicialmente a través de Finder, pero que si está en ejecución aparece en el Monitor de Actividad.

Figura 1: .Dockset en el monitor de actividad de un Mac OS X

Una vez ejecutado, crea un launch agent llamado mac.Dockset.deman para conseguir la persistencia tras el reinicio del sistema en cada nuevo inicio de sesión, e intenta conectarse al panel de control en itsec.eicp.net para esperar instrucciones. Dicho hostname según reportaba Intego, no tenía registrada una dirección IP, por lo que se supone que esta muestra era solo de pruebas y que la dirección final que se utilizará será otra distinta, pero ahora ya tiene una dirección IP, esperamos que para controlar la actividad de estas muestras.

Figura 2: Dirección IP asociada al hostname del C&C

A día de hoy el nivel de criticidad de esta muestra es bajo, pero deja claro que se está trabajando en nuevas piezas de software malicioso para equipos Mac OS X por lo que os recomendamos que tengáis las defensas activas.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares