Tenemos un nuevo troyano en Mac que puede descargar, ejecutar y borrar archivos desde un macOS/OSX infectado. Investigadores de seguridad han descubierto un nuevo malware para OS X que parece estar dirigido a la industria aeroespacial. El troyano, denominado Komplex, puede descargar, ejecutar y borrar archivos desde un Mac infectado, según la firma de seguridad Palo Alto Networks. Curiosamente, el troyano también guarda un documento PDF en el sistema infectado en relación al programa espacial ruso.
Los detalles del PDF planifican proyectos espaciales rusos entre 2015 y 2025, actuando de señuelo. En realidad el troyano es un paquete de herramientas que intentan comunicarse en secreto con servidores C&C. Esto incluye en envío de datos de los históricos de la versión, nombre de usuario y la lista de procesos que se ejecutan en el sistema infectado. El troyano también puede recibir instrucciones y enviará los resultados a los servidores comentados anteriormente. Para el proceso de infección, el troyano puede explotar una vulnerabilidad conocida en el software de MacKeeper, de acuerdo a los datos de Palo Alto. Esa vulnerabilidad puede causar que un macOS ejecute comandos remotos cuando se visitan algunas páginas web diseñadas especialmente para ello.
Figura 1: Documento PDF que inserta el malware |
Las víctimas pueden encontrarse con esta amenaza si abren un enlace malicioso y acceden al sitio web preparado para llevar a cabo la explotación y la posterior infección. Palo Alto ha puesto nombre a los creadores del troyano, y parece ser que un grupo ruso llamado Sofacy Group o Fancy Bear parecen estar detrás de esto. La firma de seguridad ha indicado también que Komplex se superpone con otro troyano denominado Carberp, el cual es utilizado para combatir al gobierno de Estados Unidos a través de ataques de phishing por correo electrónico. No hay datos sobre el número de usuarios afectados, pero estaremos atentos ante posibles nuevas noticias.
No hay comentarios:
Publicar un comentario