Continuando con la revisión de malware histórico de sistemas Mac OS X, llegamos a OSX/RSPlug, también conocido como Mac Cinema, un troyano descubierto en el año 2007 y que fue evolucionado durante un par de años. Este software malicioso utilizaba técnicas de ingeniería social para conseguir ser descargado e instalado en el equipo de la víctima, de ahí que sea denominado como “caballo de Troya” o simplemente “troyano” ¿Cómo lo hacía Mac Cinema?
Método de infiltración
El malware se distribuía a través de portales de contenido pornográfico con enlaces a videos que, al intentar ser reproducidos, mostraban un mensaje indicando que Apple QuickTime no podía mostrar el video por la falta de un códec, y a modo de “buena acción” se ofrecía su descarga al usuario. Con la descarga del susodicho codec, se preguntaba por la contraseña de administrador para completar el proceso de instalación, con lo cual OSX.RSPlug ya tenía libertad para actuar a sus anchas. El malware fue evolucionando y cambiando un poco su forma de distribución, pero con los mismos patrones. El truco no era nuevo y es el mismo que utilizaría más adelante el malware OSX/FKCodec.A.
Daños causados
Una vez instalado en el equipo, se centraba en realizar ataques de Pharming. Es decir, alteraba la configuración de los servidores DNS del sistema por unos maliciosos. La tarea de los servidores DNS es la de mapear un nombre de dominio en una dirección IP y los configurados por este troyano dirigían al usuario a páginas pornográficas para hacer ataques de clic fraud a y portales donde se practicaban estafas. Mismo negocio que el que usaron los creadores de DNS Changer - ahora camino de la cárcel -.
Para ello creaba un script en la siguiente ruta /Library/Internet Plug-Ins/plugins.settings. La finalidad de este script es la de volver a restaurar sus direcciones de DNS en el caso de que el usuario las cambiase, haciendo que los efectos del troyano no fuesen tan sencillos de revertir. Además se encargaba de recoger información de la víctima y enviarla a los servidores del panel de control de este malware.
Identificación y eliminación del troyano
Para saber si el equipo está infectado, basta con comprobar la existencia del archivo plugins.settings en la carpeta /Library/Internet Plug-Ins. El primer paso es eliminar este archivo y vaciar la papelera de reciclaje. El siguiente paso era eliminar el proceso que impide cambiar las direcciones de DNS. Para ello había que eliminar las tareas del demonio cron para root con crontab –r desde la cuenta de root.
 |
| Figura 1: RSPlug aún en XProtect |
A día de hoy, XProtect sigue bloqueando la descarga de este malware en sistemas Mac OS X. Basta con ir al fichero de configuración de XProtect en /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist y ver como la primera firma es la de RSPlug.A, lo que significa que aún deben quedar muestras en activo.
No hay comentarios:
Publicar un comentario