02
noviembre
2007

Troyano para Mac

verdad verdadera
[Malware] 
Hace un par de días saltó la noticia, se había detectado un nuevo troyano para MacOSX. Dado que la nota era lanzada por una empresa desarrolladora de antivirus para Mac, no estaba muy claro hasta que punto se trataba de una prueba de concepto o de una amenaza real que pudiera afectar a los, hasta hoy, tranquilos y seguros usuarios de Mac.


En VirusTotal no detectamos nada hasta ayer, día 1, cuando llegó una variante del troyano. Eso no quiere decir que no nos hubieran enviado más muestras anteriormente, sino que hasta ayer ninguno de los 32 motores antivirus de VirusTotal detectaba ese troyano.




Una vez con acceso a uno de los troyanos he podido llegar hasta una de las webs con contenido adulto desde donde se distribuye y ver que, en realidad, el ataque va destinado tanto a usuarios de Windows como Mac. La web de los atacantes distingue entre Windows y Mac por el user-agent del navegador, incitando a instalar la versión del troyano específica para cada caso (un .exe o .dmg).


La estrategia del ataque es intentar engañar al usuario simulando que es necesario instalar un codec para ver un vídeo de contenido pornográfico. Resultado de ver la página desde Mac:




Porción del código fuente donde apunta al .dmg:




La misma página visitada con Windows:




Porción del código fuente donde apunta al .exe:




He lanzado un sencillo script en python que, basándose en resultados de Google y enlaces de las propias páginas, recorre webs de contenido pornográfico simulando realizar la visita tanto desde Windows como Mac (con simples cadenas user-agent 'MSIE Windows' y 'Safari Mac'), y comparando los resultados buscando referencias a ".exe" y ".dmg" en cada caso. El resultado es que este script está detectando nuevas webs atacantes y versiones del troyano.




En definitiva, no se trata de un sitio aislado, sino que es un ataque distribuido que se ha tomado en serio a los usuarios de Mac como potencial objetivo del fraude online. El troyano modifica la configuración DNS del sistema para apuntar a servidores de los atacantes y poder realizar pharming, por ejemplo redirigir determinadas direcciones a sitios de phishings.


¿Será el comienzo de una nueva corriente de malware para Mac o un ataque puntual? ¿Nueva área de oportunidad para las casas antivirus o seguirá siendo a efectos prácticos una plataforma libre de malware?

Enviado por bquintero a las 02:59 | Enlace permanente | Comentarios (3) | Trackbacks (0)
Comentarios
Re: Troyano para Mac

Yo creo que realmente no es comparable a el código malicioso de Windows. En este caso, la infección es totalmente manual, siendo necesario que el usuario acepte la instalación del codec, por lo que no explota ninguna vulnerabilidad en OSX y el usuario no se infecta de forma transparente (como en el caso de Windows).

Lo que sí que es verdad es que hay usuarios poco concienciados tanto en Windows como en OSX, y estoy seguro que más de uno se lo instalará de forma consciente intentando poder ver el video. En mi opinión, no es verdad que los usuarios de OSX sean más avanzados que los de Windows.

En definitiva, creo que es un caso aislado pero hasta que no vea uno que infecte a los usuarios sin necesitar su intervención (ya sea un gusano que explote el mdnsresponder o un exploit para safari) no veo que hoy en día, OSX sea de las plataformas más seguras para el usuario 'de a pie'.

Posted by: David at noviembre 02,2007 09:05
Re: Troyano para Mac

David, aun siendo un troyano que sólo se basa en la ingeniería social, es curioso que se hayan molestado en crear una versión específica para MacOSX.

Por buscarle un lado bueno, para los usuarios de Mac (más bien para Apple) debe ser el efecto colateral de un buen indicador, será señal de que sigue ganando mercado y comienza a ser una plataforma interesante desde el punto de vista del fraude.

Supongo que el que a corto o medio plazo podamos tener más troyanos similares tendrá que ver mucho con el rendimiento que obtengan de éste. A ver si no pican muchos.

Posted by: bquintero at noviembre 02,2007 10:41
Re: Troyano para Mac

Lo que parece realmente increible es que haya mentes pensantes que se dediquen a jorobar al usuario de a pie independientemente de la plataforma que usen, sólo por el mero hecho de jorobar. Si utilizasen esos recursos para hacer algo positivo, estoy convencido de que la sociedad les estaría agradecidos.

Posted by: Juan at noviembre 02,2007 14:25
Trackbacks
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/250/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
Enviar un comentario