Desde Intego han analizado las nuevas variantes del troyano OSX/Flashback, que simula ser el archivo de instalación de Adobe Flash para Mac OS X, encontrando muchos mayores niveles de sofisticación.
Así, en las primeras versiones era fácil descubrir que la máquina estaba troyanizada, ya que se copiaba en la ruta ~/Library/Preferences/Preferences.dylib con lo que era bastante sencillo de descubrir. Sin embargo, en la nueva versión analizada se ha podido ver como el troyano, mediante un fichero de postinstalación, se mete dentro de Apple Safari, modificando el fichero info.plist de éste, y añadiendo un módulo que carga el troyano mediante la línea /Applications/Safari.app/Contents/Resources/UnHackMeBuild, tal y como se puede ver en la imagen.
Figura 1: Inclusión del backdoor de OSX/FlashBack en el fichero info.plist de Apple Safari |
Ya se pudo ver en versiones previas que OSX/FlashBack se estaba haciendo más sofisticado, ya que utilizaba sistemas de mensajes cifrados con el algoritmo RC4 que usaban como clave el Hash MD5 de el UUID del equipo, que a su vez se enviaba oculto en el User-Agent de la petición.
Ahora, con esta nueva variante vemos un giro que hace de él más dificil de descubrir, y que deja a las claras que esto tiene pinta de convertirse en una epidemia de nuevos "Instaladores de cualquier cosa" similares a lo que sucedió en su día con MacDefender. Habrá que prepararse y tener cuidado.
No hay comentarios:
Publicar un comentario