OSX/Leverage.A: malware unido al Syrian Electronic Army

Durante esta semana Intego reportó el descubrimiento de una nueva muestra de malware para sistemas operativos OS X encontrada en Virus Total, subida allí por el usuario Belarus. Dicha muestra de malware es un fichero con extensión .app que simula ser una fotografía tomada por alguna cámara digital, para lo que se había elegido un nombre común de los utilizados por dichos dispositivos, y en los que se camufla un backdoor. Dicho troyano se conecta a un panel de control que en estos momentos está caído, así que se piensa que puede haber sido utilizado para algún tipo de ataque dirigido.

El malware, al que se ha llamado OSX/Leverage.A, una vez ejecutado se copia a sí mismo a la ruta /Users/Shared/UserEvent.app y crea unos LaunchAgents para lograr la persistencia en el sistema.

Figura 1: Copia de OSX/Leverage.A y LaunchAgent creado

A partir de ese momento trata de conectarse a un panel de control usando el puerto 7777 y, entre otras cosas, trata de descargarse esta imagen relativa al Syrian Electronic Army, lo que ha hecho pensar que estuviera siendo utilizado en una de las ya muchas operaciones de hacking de este grupo, o solo de un simpatizante.

Figura 2: Imagen del Syrian Electronic Army que se intenta descargar el malware

Dependiendo de las opciones de configuración de GateKeeper y el medio por el cuál fuera distribuido esta pieza de malware - no se tienen detalles del método utilizado -, podría ser parado por el sistema de protección en OS X 10.8 Mountain Lion, o mostrar una alerta al usuario. Apple ha decidido tomar cartas en este asunto, y ha actualizado XProtect para que sea detectado sea cual sea su distribución por Internet.

Figura 4: Actualización de XProtect para detectar OSX/Leverage.A

En cualquier caso te recomendamos que tengas instalado, actualizado y configurado con protección en tiempo real un antimalware en el sistema.