Descubren la primera botnet basada en Macs

Poco tiempo después del lanzamiento de iWork 09 y de Photoshop CS4, apareció en la redes de pares una versión pirateada que incluía un troyano incrustado en el instalador. Ese troyano, llamado OSX.Iservice, una vez descargado, permitía a la aplicación portadora funcionar correctamente, pero abre una puerta trasera en el ordenador comprometido que le permite contactar con otros ordenadores en redes de de pares para recibir órdenes.

Los investigadores de seguridad Mario Barcena y Alfredo Pesoli de Symantec Irlanda explican en el boletín sobre virus y segurida de Abril que la red infectada inició un ataque DoS (Denial of Service - Denegación de servicio) a una Web en Enero.

OSX.Iservice es un ejemplo interesante de malware, escriben ambos investigadores. No solo usa partes internas de Mac OS X sino que además es la primera Botnet de ordenadores de Apple de la que tenemos consciencia.

Cuando se instala iWork 09, el paquete iWorkServices es instalado. El instalador para el troyano es lanzado tan pronto como el usuario inicia la instalación de iWork, siguiendo la petición del instalador por la contraseña del suministrador. Este software está instalado como un item (/System/Library/StartupItems/iWorkServices) de startup, donde tiene permisos de lectura, escritura y ejecución en como Root.

En Photoshop, el troyano esta vez no se esconde en el instalador, sino que está incluido en el parche que desbloquea la aplicación y evita el proceso de registro. La aplicación extrae un ejecutable e instala una puerta trasera /var/tmp/. Si el usuario intenta reinstalar el crack, se crea de nuevo otra aplicación similar con diferente nombre.

El troyano solicita la contraseña de administrador, y una vez introducida, se lanza esta puerta trasera con permisos de Root, copiando el ejecutable a /usr/bin/DivX y añadiendo un item de arranque en /System/Library/StartupItems/DivX. Una vez en marcha, la aplicación intenta recursivamente conectarse con dos IP, según Intego.

Un usuario malicioso podría usando este software descargar archivos remotos; Intego predijo que OSX.Trojan.iServices.B será capaz de realizar ataques de Denegación de Servicio.

Los criminales, en general, buscan los ordenadores con Windows porque en el mundo de las Botnet, lo importante es el número de ordenadores infectados. El aumento de la cuota de mercado el Mac ha abierto una posible vía de infección para los usuarios. Los investigadores de Symantec esperan que con el tiempo, los hackers encuentren trucos y formas mucho mas sofisticados para introducirse en los ordenadores.

para Ryan Naraine, el evangelista de seguridad de Kaspersky Labs ha dicho que aunque una Botnet basada sobre Macs no es muy práctica es un claro ejemplo de que no hay ningún sistema operativo seguro por defecto.