
En esta ocasión, el documento elegido tiene que ver con la polémica existente entre China y Japón por la soberanía de unas islas, conocidas como Diaoyu para China y como Senkaku para Japón. El documento está escrito en Chino, así que el objetivo del malware parecen ser usuarios de esa nacionalidad.
![]() |
Figura 1: PDF usando en el engaño |
Una vez ejecutado en el sistema se conecta de forma reversa a unos servidores desde los que se controlan las víctimas, es decir, realiza conexiones reversas al panel de control para saltarse mejor los firewalls. En el sistema queda instalado en forma de dos archivos, y no tiene protección contra el borrado, es decir, no hay procesos comprobando que el troyano se elimine, por lo que basta con quitar estos dos ficheros del sistema.
/users/%user%/library/LaunchAgents/checkvir
/users/%user%/library/LaunchAgents/checkvir.plist
La difusión del mismo no ha sido masiva, ya que el hacer uso de extensión .exe en ficheos limita muchísimo su paso por firewalls HTTP y, por supuesto, como fichero adjunto en correos electrónicos, donde parece que sería el hábitat natural para el que se crea un engaño de documento PDF.
El malware ha sido descubierto por el equipo de seguridad de F-Secure, y quizá, lo más interesante de esta noticia sea la aparición de nuevos troyanos preparados para ejecutarse en Mac OS X. Tal vez, cuando elijan métodos más peligrosos de difusión que el engaño de la doble extensión, como aprovecharse de 0-days o buscar infecciones auto-distribuidas utilizado redes sociales, este tipo de amenazas sea mucho mayor.
Por si acaso, hay que ir preparándose para lo que pueda venirnos en el futuro, que con el aumento sostenido de cuota de uso de Mac OS X seguro que se va a atraer a la industria del malware de manera más intensa.
No hay comentarios:
Publicar un comentario