Emerge un nuevo Troyano para Mac OS X en versión beta: MusMinim
Aparentemente los hackers siguen jugando con la posibilidad de vulnerar la seguridad de los usuarios de Mac OS X según un artículo publicado por el vendedor de software de seguridad Sophos. El nuevo troyano, que admite de forma interna que está sin acabar, podría ser el indicativo de que los hackers están tomándose en serio el aumento de cuota de mercado de los ordenadores de la empresa de Cupertino.
La empresa de seguridad Sophos ha analizado la muestra recibida del troyano para determinar que es la modificación de un software modificado creado para el mundo Windows, una variante del muy conocido DarkComet, un troyano de acceso remoto. El autor del troyano se refiere a la versión Mac del software como BlackHole RAT (Remote Access Trojan). Sophos ha bautizado a esta amenaza como OSX/MusMinim-A, o MusMinim.
El nombre BlackHole de hecho ya está siendo utilizado por una aplicación legítima destinada a aumentar la seguridad en el Mac que elimina información potencialmente sensitiva.
MusMinim es un troyano muy básico y su interfaz está en una mezcla de alemán e inglés. Sus funciones incluyen:
Añadir documentos de texto en el escritorioEnvío de comandos para reiniciar, apagar o enviar el ordenador a reposoEjecutar comandos de Terminal de forma arbitrariaAñadir un cuadro de diálogo a pantalla completa que solo permite reiniciarEnviar URLs al ordenador infectado que abren sitios webAbrir cuadros de diálogo falsos para solicitar la contraseña del administradorLa ventana emergente a pantalla completa con el botón de reiniciar como única opción muestra el siguiente texto:
"I am a Trojan Horse, so i have infected your Mac Computer. I know, most people think Macs can't be infected, but look, you ARE Infected!I have full controll over your Computer and i can do everything I want, and you can do nothing to prevent it.
So, Im a very new Virus, under Development, so there will be much more functions when im finished."
Los troyanos de estas características suelen desplegarse como parte de software pirata, falsas descargas de software legítimo o a través de agujeros de seguridad del navegador.
El desarrollador de soluciones de seguridad ha añadido este troyano a la lista de software capaz de eliminar a Sophos Anti-Virus for Mac Home Edition, su versión gratuita de antivirus para Mac.
Apple también dispone en Mac OS X, desde Snow Leopard, con una herramienta de protección básica contra troyanos. File Quarantine es un sistema que advierte al usuario al ejecutar una nueva aplicación descargada desde internet, aunque no solo se reduce a las aplicaciones, sino también a diferentes tipos de archivos que podrían ser ejecutables (scripts, archivos php). El usuario debe tomar entonces la decisión de ejecutar ese programa o no vía un cuadro de diálogo presentado por el sistema operativo.
El usuario tiene dos opciones ante este cuadro de diálogo: aceptar si cree que el software no resulta un peligro para su Mac o cancelarlo, si tiene algunas dudas sobre si la aplicación puede resultar potencialmente dañina para su máquina. Sin embargo, si cancelamos la apertura del archivo, el sistema lo pone en cuarentena, y ahí hay una serie de variaciones en la política de como trata el sistema el archivo al respecto de los ordenadores con múltiples cuentas de usuarios.
Generalmente, si cancelas la apertura de la aplicación, la siguiente vez que trates de abrirla, volverá a solicitar la aprobación de el usuario. En el caso de una aplicación que compartirán múltiples usuarios en su Mac, solo el usuario que descargó la aplicación puede eliminar la cuarentena de forma definitiva, mientras que otros usuarios del mismo ordenador recibirán el cuadro de diálogo siempre que intenten abrir la aplicación y deberán aceptar la apertura del archivo en cuestión cada vez que abran el archivo en cuestión.
AntiMalware
Apple ha ampliado la protección del sistema operativo usando un rudimentario para identificar amenazas para nuestro ordenador. El sistema no ofrece curas ni una vacunación de los archivos infectados: solo avisa de su existencia y de que el usuario no debería ejecutarlos.
La comprobación que realiza el sistema de si un archivo o aplicación es potencialmente peligroso, ya sea descargado desde Safari o recibido a través de un programa de correo electrónico o a través de iChat, se realiza a través de File Quarantine usando un archivo de definiciones, de forma similar a como se realiza en los programas antivirus tradicionales, que se encuentra en Sistema/Librería/Core Services/CoreTypes.bundle/Contents/Resources/XProtect.plist.
Hasta ahora, en el archivo de definiciones solo se encuentran tres referencias a malware: el troyano OSX.RSPlug.A descubierto en 2007, el malware distribuido en un instalador pirata de iWork 09 llamado OSX.iService y HellRTS, aunque Sophos lo identificó como OSX/Pinhead-B.
Se supone que Apple irá aumentando la lista de definiciones de malware a través de actualizaciones de software, que serán mas frecuentes conforme vayan aumentando las amenazas al sistema operativo, aunque en esta ocasión, los usuarios no van a permitir retrasos en cuanto a la actualización de definiciones de software pernicioso porque no es lo mismo solucionar un problema en un programa que permitir que los ordenadores permanezcan en peligro mas de lo necesario. Estas actualizaciones de seguridad (posiblemente, de muy poco peso) deberían ser tan frecuentes como conforme se vaya ampliando la amenaza de software malicioso para Mac.
Bromas aparte, a mi me da que las empresas de antivirus necesitan ampliar su mercado... y si lo digo muy seriamente.
Este, según dicen es una variante de un troyano para windows. Lo cual demuestra q la seguridad de OSX no es mejor q la de windows, y q se puede atacar a OSX con los mismos troyanos. Si no abundan es porque no interesa... pero si eso cambia, podrán plagar el sistema OSX, igual q hacen con windows, con la diferencia de q windows es mucho más maduro en protección porque lleva muchos años mejorando... y OSx aún está en pañales. La seguridad de OSX es muy inocente.