NetWeirdRC: un troyano “comercial” que también afecta a OS X

El troyano OSX/NetWeirdRC, denominación dada por Intego, que ha descubierto este malware, es una puerta trasera en la línea de otras amenazas para OS X, pero que también afecta a Windows, Linux y Solaris. Al igual que OSX/Crisis, es un software comercial que puede comprarse por unos 60 dólares y que permite, una vez instalado, acceder a los contenidos y contraseñas del ordenador afectado.

Afortunadamente el troyano, que afecta a Mac OS X 10.6 Snow Leopard y superiores, tiene un bug que lo hace inspirativo en OS X y no se inicia después de reiniciar el Mac, dejándolo inerte (e inoperativo) mientras no se active manualmente.

Según las investigaciones de Intego sobre el maleare, el troyano se añade a los ítems de arranque pero el fallo en su programación hace que en vez de añadirse el malware, añada la carpeta de usuario (Home) en su lugar.

Una vez instalado, el troyano llama a la IP 212.7.208.65 y trata de conectar con el puerto 4141 para recibir instrucciones permitiendo instalar nuevos archivos, ejecutar comandos de forma remota, hacer pantallazos, recoger información del perfil del sistema y las aplicaciones que están ejecutándose y robar información encriptada de contraseñas de Firefox, Thunderbird, Opera y SeaMonkey.

El troyano crea una carpeta temporal adicional en /tmp/.lbOOjfsO

Es interesante comparar y contrastar OSX/Crisis y OSX/NetWeirdRC como productos “comerciales”: mientras que el primero es una amenaza avanzada capaz de camuflarse bastante bien, el segundo tiene bastantes problemas. El precio indica también el “valor” de ambos malware: mientras que el primero tiene un precio de 200 dólares, el segundo apenas cuesta 60 dólares.

Fuente: Intego.