OSX.Bella: Variante peligrosa de OSX.Dok y OpenSource

Ayer hablamos de OS X / Dok, un nuevo malware para Mac que afecta a todas las últimas versiones del sistema operativo. Hoy hablamos de una variante llamada OSX.Bella. El investigador Adam Thomas de Malwarebytes encontró una variante de OSX.Dok, el cual se comporta de manera muy diferente e instala una carga o un payload totalmente diferente. El método de distribución es prácticamente igual al de OSX.Dok. Además, OSX.Bella también se copia a /Users/Shared/AppStore.app y muestra la misma alerta alegando que la aplicación está dañada. Sin embargo, esta variante nunca muestra el mensaje falso de "OS X Actualizaciones disponibles".

En vez de instalar OSX.Dok, lo que se instala es una puerta trasera o de backdoor llamada Bella, creada por alguien que se identifica en Github como "Noah". Noah ha estado creando scripts de Python para capturar varios datos de macOS, por ejemplo, robar tokens de autorización de iCloud o información de la contraseña y tarjeta de crétido en Google Chrome. En febrero de este año, Noah lanzó Bella, la cual combina la funcionalidad de los scripts anteriores con nuevas funcionalidades:

• Exfiltración de datos de iMessage.
• Phishing de contraseñas.
• Ubicación de los dispositivos a través de Find My iPhone.
• Exfiltración del llavero. 
• Captura de datos de micrófono y webcam.
• Exfiltración de los screenshots.
• Compartición remota de pantalla.

Figura 1: OSX.Bella

Como se puede ver, Bella es todo un arsenal de funcionalidades orientadas al espionaje y el aprovechamiento de ciertos privilegios. El malware también se ha configurado para instalar el script, la base de datos y los archivos del agente. Lo más preocupante es que Bella es de código abierto y puede provocar que muchas otras personas puedan utilizarlo para realizar acciones maliciosas en la red.