Más de 17.000 equipos OS X han sido los infectados con iWorm, la botnet controlada a través de paneles de control posteados en foros de Reddit que Apple ha tenido que desactivar en estos días en una operación coordinada con Reddit, con las actualizaciones de XProtect y con la industria antimalware. La manera en que los equipos se han visto infectados no ha sido nada nueva, el viejo truco de infectar copias piratas de programas populares con el backdoor y ponerlos en la red, en Torrents a disposición pública. Este técnica lo vimos ya en el mundo Mac con iService, con OSX/CoinThieft que infectó a los Angry Birds, o DevilRobber (a.k.a OSX/Miner.D), todos ellos distribuidos en copias piratas de programas legítimos.
En este caso la víctima elegida para engañar a los usuarios ha sido Adobe, con sus populares programas Adobe Photoshop CS y Adobe Illustratrator CS publicados en Torrent en The Pirate Bay.
 |
| Figura 1: Lista de copias piratas infectadas |
Cuando la víctima se descargaba la copia pirata del software y lo ejecutaba, el instalador no viene firmado digitalmente por la compañía, lo que genera la primera alerta de seguridad en el sistema OS X.
 |
| Figura 2: Alerta al ejecutar el instalador de Adobe Photoshop CS pirata |
Aunque parece ser un instalador legítimo, en el análisis realizado por The Safe Mac se puede ver cómo ese instalador pone el malware en la máquina del cliente.
 |
| Figura 3: El instalador de la copia pirata infectada |
Como se puede apreciar, se crea un servicio corriendo como superusuario con el fichero /Library/LaunchDaemons/com.JavaW.plist en el que se indica que debe ejecutarse /Library/Application Support/JavaW.
 |
| Figura 4: Fichero plist que crea el servicio |
El nombre puede hacer creer al usuario que se trata de un servicio de Java, pero realmente es la forma en la que el malware consigue la persistencia.
 |
| Figura 5: el servicio que troyaniza la máquina |
El resto ya es conocido, una vez instalado realiza búsquedas de posts en Reddit utilizando un token concreto para localizar un post que le diga en qué direcciones IP se encuentran lo servidores a los que hay que conectarse.
 |
| Figura 6: Búsqueda del post con las direcciones IP con los paneles de control |
En el post se encuentra la lista de direcciones IP a los que el backdoor debe realizar las peticiones de comandos a ejecutar en las máquinas OS X de las víctimas.
 |
| Figura 7: Posts con los paneles de control en Reddit |
Ese token se calcula como un derivado de la fecha, que le permite al máster ir cambiando en nuevos posts las nuevas direcciones IP que se van a utilizar.
 |
| Figura 8: Generación del token de búsqueda |
Además de todo, si el usuario tiene configurado el bloqueo de conexiones en el firewall, el servicio se ve obligado a pedir permiso al usuario para las conexiones, lo que debería alertar más sobre su riesgo.
 |
| Figura 9: Alerta de firewall por conexión de red del servicio |
En definitiva, un malware distribuido al estilo de los populares malware de Windows utilizando malas prácticas de los usuarios de la plataforma. Ten cuidado con las fuentes de donde descargas programas, ten un antimalware en tiempo real y fortifica tu plataforma para evitar que sea fácil para cualquier bicho infectar tu OS X.
Buen artículo, muy interesante y bien explicado paso por paso
ResponderEliminar