En Septiembre de 2011 tuvimos la primera noticia de la existencia de un malware para Mac OS X denominado con el nombre de OSX/Imuler distribuido con un fichero PDF para ser utilizado en ataques dirigidos. Un poco más tarde, en Marzo de 2012 dicho malware fue descubierto oculto en fotografías empaquetadas, de las cuales una de ellas era el malware. Ahora ha vuelto a ser encontrado en un fichero llamado "your dirty pics.zip" dentro del repositorio de Virus Total, según reporta Intego. En el fichero se pueden ver las siguientes fotografías, que realmente son una aplicación.
Figura 1: Fotos donde estaba OSX/Imuler (censuradas) |
El fichero se está distribuyendo vía una campaña de correos electrónicos que van dirigidos a una persona en concreto. El mensaje con el que vienen las supuestas fotografías es el siguiente.
Figura 2: Mensaje con el que se distribuye OSX/Imuler en esta variante |
Una vez hecho doble clic sobre la supuesta fotografía, el malware se borra a si mismo, extrae una fotografía de verdad de la aplicación y se muestra en la Vista Previa de fotografías, al tiempo que crea los siguientes archivos y directorios.
/tmp/.mdworker
/tmp/updtdata
/tmp/launch-IORF98
~/Library/LaunchAgents/ScheduledSync.plist
~/Library/LaunchAgents/ScheduledSync
Este backdoor, una vez instalado, permite al atacante buscar información en los datos de usuario, al mismo tiempo que puede tomar capturas de pantalla de las acciones que está realizando el usuario en el equipo.
Figura 3: Mostrar extensiones de archivo en Finder |
Para evitar caer en este tipo de trucos, se recomienda mostrar las extensiones de archivos en el Finder, para poder ver que realmente no son fotografías sino una aplicación que va a ser ejecutada y tener instalado un antimalware profesional con protección en tiempo real, para detectar cambios en las partes importantes del sistema, que esté actualizado con las nuevas firmas de malware según se vayan descubriendo.
¿Los usuarios que tienen GateKeeper activado y configurado para permitir la ejecución de programas de la appstore y/o certificados también están afectados o impediría GateKeeper la ejecución del malware?
ResponderEliminar@Anónimo, GateKeeper debería impedir su ejecución si está en ese modo. Por desgracia no todos los programas de Mac OS X entran en esa categoría aún, y casi nadie lo tiene así, pero sí, es una medida de protección por el momento.
ResponderEliminarSaludos!