Un mito de la informática es que “no hay virus para los Mac” pero lo que si pueden estar seguros los usuarios de este sistema operativo es que si existe malware y cada día más pues el software fabricado por Apple no está exento de vulnerabilidades. Y si no están convencidos pueden ver en la prestigiosa Hispasec los tres artículos sobre el tema en los enlaces de Malware para Mac:Vamos a contar mentiras. Vamos a contar mentiras (I, IIy III). Otra muestra de las vulnerabilidades en Mac es el blog Seguridad Apple. Sin más dilaciones la noticia de un nuevo malware para Mac:

Un nuevo malware ha sido descubierto por el equipo de seguridad de F-Secure, para ejecutarse en Mac OS X. Haciendo uso del truco de la doble extensión, mediante el nombre .pdf.exe, el malware se disfraza como un archivo PDF para engañar a los usuarios a activar su carga, este troyano para Mac OS X es detectado como Backdoor:OSX/Imuler.A.

Este malware, al igual que han hecho durante mucho tiempo en la plataformas Microsoft Windows, utiliza un archivo de documento PDF incrustado en su cuerpo para intentar engañar al usuario y activar su carga, una vez que consigue que la víctima lo ejecute en su equipo, abre un documento PDF para evitar que el usuario se dé cuenta de la actividad sospechosa en curso, haciéndole creer que nada ha pasado.

El contenido del documento PDF se ha tomado de un artículo que circuló el año pasado, y contiene el texto en idioma chino en relación con cuestiones políticas, que algunos usuarios pueden encontrar ofensiva.

Este malware intentar copiar la técnica implementada por los malware en Windows, ya que abre un archivo PDF que contiene la doble extensión ” pdf.exe” y un icono de PDF adjunto. La muestra en las manos de F-Secure no tiene una extensión o un icono todavía. Sin embargo, hay otra posibilidad. Es ligeramente diferente en Mac, donde se almacena en el icono de un tenedor por separado que no es fácilmente visible en el sistema operativo. La extensión y el icono se pudieron haber perdido cuando la muestra fue enviada a ellos. Si este es el caso, este código malicioso puede ser aún más sigiloso que en Windows, ya que la muestra puede utilizar cualquier extensión que desee.

El malware Backdoor:OSX/Imuler.A, procede a instalar una puerta trasera.  Al escribir estas líneas, el C&C del malware es sólo una instalación desnuda de Apache y no es capaz de comunicarse con la puerta trasera todavía. El dominio fue registrado el 21 de marzo del 2011 y fue actualizado por última vez el 21 de mayo del 2011.

Ya que esta muestra de malware ha sido recibida de VirusTotal, no se puede estar seguro sobre el método que utiliza para propagarse. La forma más probable es el envío de un adjunto en un correo electrónico. El autor podría estar utilizando la muestra para ver si se detecta por los diferentes fabricantes de soluciones antivirus.

Actualizado para añadir, los hashes MD5 de las muestras:

• Trojan-Dropper: OSX / Revir.A: fe4aefe0a416192a1a6916f8fc1ce484
• Trojan-Downloader: OSX / Revir.A: dfda0ddd62ac6089c6a35ed144ab528e
• Backdoor: OSX / Imuler.A: 22b1af87dc75a69804bcfe3f230d8c9d

Fuente: F-Secure Blog

Anuncios