Continúa el desarrollo del Troyano BlackHole RAT/MusMinim

A finales de febrero se hizo pública la aparición de un troyano para Mac OS X basada en el conocido DarkComet para Windows que fue denominado dentro del entorno Mac OS X como BlackHole RAT ó, según la denominación de Sophos, OSX/MunMinim-A.

Este primer troyano era muy básico y su interfaz mostraba una mezcla ade idiomas alemán e inglés.

Sin embargo, lejos de que esta versión aparentemente previa de troyano se quedara en una prueba de concepto, sus desarrolladores están trabajando en una nueva versión con características mas peligrosas. Denominado de momento BlackHole RAT 2, el riesgo de infección es muy bajo o prácticamente nulo, aunque es conveniente estar al tanto de este tipo de amenazas de seguridad.

La nueva versión de este troyano modifica el cuadro de diálogo de entrada de login y password para que resulte mas creíble frente a la de la versión anterior, añade una nueva función en la que ralentiza el rendimiento del ordenador creando un proceso que consume los recursos del mismo y lo que es mas preocupante, ejecuta comandos de Terminal (como en la versión anterior) y la posibilidad de que te borre el disco duro.

Según el autor del troyano, la versión actual del mismo es todavía inestable y se encuentra trabajando en una versión posterior mas estable previa a su posible distribución.

Las funciones básicas y heredadas de la versión anterior del troyano son:

Añadir documentos de texto en el escritorio

Envío de comandos para reiniciar, apagar o enviar el ordenador a reposo

Ejecutar comandos de Terminal de forma arbitraria

Añadir un cuadro de diálogo a pantalla completa que solo permite reiniciar

Enviar URLs al ordenador infectado que abren sitios web

Abrir cuadros de diálogo falsos para solicitar la contraseña del administrador

Los troyanos de estas características suelen desplegarse como parte de software pirata, falsas descargas de software legítimo o a través de agujeros de seguridad del navegador.

Apple también dispone en Mac OS X, desde Snow Leopard, con una herramienta de protección básica contra troyanos. File Quarantine es un sistema que advierte al usuario al ejecutar una nueva aplicación descargada desde internet, aunque no solo se reduce a las aplicaciones, sino también a diferentes tipos de archivos que podrían ser ejecutables (scripts, archivos php). El usuario debe tomar entonces la decisión de ejecutar ese programa o no vía un cuadro de diálogo presentado por el sistema operativo.

El usuario tiene dos opciones ante este cuadro de diálogo: aceptar si cree que el software no resulta un peligro para su Mac o cancelarlo, si tiene algunas dudas sobre si la aplicación puede resultar potencialmente dañina para su máquina. Sin embargo, si cancelamos la apertura del archivo, el sistema lo pone en cuarentena, y ahí hay una serie de variaciones en la política de como trata el sistema el archivo al respecto de los ordenadores con múltiples cuentas de usuarios.

Generalmente, si cancelas la apertura de la aplicación, la siguiente vez que trates de abrirla, volverá a solicitar la aprobación de el usuario. En el caso de una aplicación que compartirán múltiples usuarios en su Mac, solo el usuario que descargó la aplicación puede eliminar la cuarentena de forma definitiva, mientras que otros usuarios del mismo ordenador recibirán el cuadro de diálogo siempre que intenten abrir la aplicación y deberán aceptar la apertura del archivo en cuestión cada vez que abran el archivo en cuestión.

AntiMalware

Apple ha ampliado la protección del sistema operativo usando un rudimentario para identificar amenazas para nuestro ordenador. El sistema no ofrece curas ni una vacunación de los archivos infectados: solo avisa de su existencia y de que el usuario no debería ejecutarlos.

La comprobación que realiza el sistema de si un archivo o aplicación es potencialmente peligroso, ya sea descargado desde Safari o recibido a través de un programa de correo electrónico o a través de iChat, se realiza a través de File Quarantine usando un archivo de definiciones, de forma similar a como se realiza en los programas antivirus tradicionales, que se encuentra en Sistema/Librería/Core Services/CoreTypes.bundle/Contents/Resources/XProtect.plist.

Hasta ahora, en el archivo de definiciones solo se encuentran tres referencias a malware: el troyano OSX.RSPlug.A descubierto en 2007, el malware distribuido en un instalador pirata de iWork 09 llamado OSX.iService y HellRTS, aunque Sophos lo identificó como OSX/Pinhead-B. Adicionalmente en Mac OS X 10.6.7, Apple añadió una nueva definición para el troyano OSX.OpinionSpy.

Se supone que Apple irá aumentando la lista de definiciones de malware a través de actualizaciones de software, que serán mas frecuentes conforme vayan aumentando las amenazas al sistema operativo, aunque en esta ocasión, los usuarios no van a permitir retrasos en cuanto a la actualización de definiciones de software pernicioso porque no es lo mismo solucionar un problema en un programa que permitir que los ordenadores permanezcan en peligro mas de lo necesario. Estas actualizaciones de seguridad (posiblemente, de muy poco peso) deberían ser tan frecuentes como conforme se vaya ampliando la amenaza de software malicioso para Mac.