Apple y todas sus plataformas no están exentos de malware, es por esto que tenemos que estar atentos y prevenir lo máximo posible este tipo de amenazas. Un nuevo malware llamado OSX.LamePyre obtiene capturas de pantalla del escritorio y además también ejecuta una puerta trasera o backdoor. Este programa malicioso fue detectado por Malwarebytes el pasado viernes. Vamos a ver cómo funciona este malware para Mac.
La primera curiosidad es que realmente es un script (el usuario puede ver el icono de "Automator", típico para esta clase de programas) el cual decodifica un programa escrito en Python el cual es el encargado de obtener las capturas de pantalla y enviar la información a un centro de mando y control (C2). Los investigadores de Malwarebytes detectaron que el código Python ya había aparecido en otros programas maliciosos similares, como por ejemplo Darthminer.
El software se distribuye simulando ser una copia de la aplicación legítima de mensajería para gamers llamada Discord. También parece que el código fuente no está muy depurado o perfeccionado ya que ni siquiera incluye alguna funcionalidad para intentar hacerse pasar por la aplicación original. De hecho, no es una copia de Discord con modificaciones, tampoco se ejecuta después de abrir el malware. Incluso el icono que utiliza, no tiene calidad suficiente como para intentar simular ser una aplicación legítima. Para mantener el programa en ejecución, el autor ha incluido código el cual prepara la ejecución de un agente o proceso con el nombre "com.apple.systemkeeper.plist".
A pesar de todos estos fallos de programación, LamePyre es bastante sigiloso y efectivo. Es posible que ya tenga abierta la puerta trasera y haya enviado capturas de pantalla antes de que el usuario lo haya detectado. Cualquier precaución es poca a la hora de ejecutar programas en Mac, así que hay que estar siempre alerta y utilizando el sentido común.
Figura 1. Script de Automator que decodifica el programa en Python de LamePyre. Fuente. |
El software se distribuye simulando ser una copia de la aplicación legítima de mensajería para gamers llamada Discord. También parece que el código fuente no está muy depurado o perfeccionado ya que ni siquiera incluye alguna funcionalidad para intentar hacerse pasar por la aplicación original. De hecho, no es una copia de Discord con modificaciones, tampoco se ejecuta después de abrir el malware. Incluso el icono que utiliza, no tiene calidad suficiente como para intentar simular ser una aplicación legítima. Para mantener el programa en ejecución, el autor ha incluido código el cual prepara la ejecución de un agente o proceso con el nombre "com.apple.systemkeeper.plist".
A pesar de todos estos fallos de programación, LamePyre es bastante sigiloso y efectivo. Es posible que ya tenga abierta la puerta trasera y haya enviado capturas de pantalla antes de que el usuario lo haya detectado. Cualquier precaución es poca a la hora de ejecutar programas en Mac, así que hay que estar siempre alerta y utilizando el sentido común.
No hay comentarios:
Publicar un comentario