
Hoy, le toca el turno a Ace in the Hole, bautizado como OSX/PWS-Corpref y también conocido como OSX.Trojan.PokerStealer. Este malware fue descubierto el 20 de Junio de 2008 por Intego y es un sencillo software malicioso escrito en shell script y que pretendía ser un juego de cartas de poker gratuito.
![]() |
Figura 1: El juego de Poker con el malware |
Una vez ejecutado, el Password Stealer, según el análisis de McAfee, además de robar los hashes, intenta engañar al usuario para que le introduzca la contraseña y comprobar que es correcta. Así, muestra un mensaje que dice que hay un fichero de preferencias corrupto que debe ser reparado y que se necesita la password.
![]() |
Figura 2: Solicitando la contraseña del usuario |
Una vez robada la password, el malware modifica los ficheros de configuración para permitir que un atacante remoto se conecte via ssh a la máquina en cuestión.
![]() |
Figura 3: Comprueba la password con el hash robado |
Los ficheros modificados son:
/System/Library/LaunchDaemons/ssh.plist (En Mac OS X 10.4 y 10.5)/private/etc/xinetd.d/ssh (En Mac OS X 10.3)/etc/hostconfig (En Mac OS X 10.2)
Toda la información robada de cuentas, al final era mandada por correo electrónico a través de un servidor controlado por el dueño del malware, que hace tiempo que está bloqueado. Y es que jugar a poker puede ser un riesgo superior a perder un poco de dinero en una mala jugada de farol.
No hay comentarios:
Publicar un comentario