Nuevo troyano para Mac OS X enmascarado en un PDF; la amenaza es baja

Ha aparecido un nuevo troyano para Mac OS X enmascarado en un archivo PDF. El troyano se conecta a un servidor externo pera descargar un software que abre una puerta trasera en el ordenador. El supuesto PDF de ehcho muestra texto para engañar a los usuarios que lo abren y que no reciben ninguna notificación real de lo que está ocurriendo. El actual troyano muestra texto en chino, pero puede cualquier tipo de PDF. Dentro te contamos como identificarlo con relativa facilidad.

Cuando un usuario abre el archivo, el ejecutable entra en acción extrayendo un tercer ejecutable que descarga un software de puerta trasera de un servidor remoto. El primer ejecutable solo funciona en Macs con Intel y el software de puerta trasera no funciona en sistemas de archivos que diferencian mayúsculas y minúsculas (que no es el caso habitual ni por defecto en la instalación de Mac OS X). El software e puerta trasera es capaz de sacar pantallazos y los envía a un servidor además de realizar otras acciones.

El troyano no está ampliamente distribuido en internet y posiblemente se trata de una prueba de concepto. Su diseño es bastante pobre y aunque puede llegar a funcionar, no se conecta a un servidor activo. VirusBarrier X6 de Intego detecta este troyano y lo identifica como OSX/Revir.A y el software de puerta trasera, como OSX/Imuler.A. La amenaza puede considerarse como muy baja.

¿Un PDF ejecutable?

Realmente, y sin tener una muestra del Troyano, es bastante factible que este Troyano se aproveche de la posibilidad de crear una App-in-PDF.

La documentación de Aperture es un ejemplo de este tipo de PDF. A pesar de que su icono pone claramente que es un PDF, la realidad es muy distinta: es una aplicación con su correspondiente extensión .app. Realmente lo que ha hecho Apple es meter esta documentación en “una caja” que impide que pueda leerse en ordenadores que no están soportados (por ejemplo, un PPC y de ahí que el troyano no funcione en un procesador de este tipo) además de centralizar todos los documentos de ayuda de diferentes idiomas en una misma aplicación, pero esto es fácilmente solucionable.

Selecciona cualquiera de los archivos de ayuda y con el botón contextual elige Mostrar contenido del paquete y navega a Resources/English.lproj/ y en esa ubicación tienes el PDF real que puedes copiar a tu escritorio para poder inspeccionar sin las restricciones de Apple. Adicionalmente, en la carpeta Resources están las versiones en francés, alemán y japonés.

En el caso de un PDF sospechoso como Troyano, el proceso de detección debería ser el mismo: si es factible mostrar el contenido del paquete (y el PDF viene de una fuente poco segura o no confiable) es bastante probable que nos encontremos ante una versión de este troyano.

0 0 votos
Article Rating
Subscribe
Notify of
4 Comments
Oldest
Newest Most Voted
Opiniones Inline
Ver todos los comentarios
erretxea
10 years ago

Solo espero que los de Intego no estén “trabajando” para que les compremos la aplicación.

10 years ago

Bueno, igual sí 😉

El caso es que hay una diferencia importante entre troyano enmascarado en un PDF, y troyano enmascarado como un PDF, que es lo que este troyano es.

Si fuera lo primero, la vulnerabilidad correspondería a Adobe. Pero se trata de una aplicación que parece (y muestra) un PDF… como bien documentáis que hace Apple para sus programas, o para los manuales del propio Mac OS X cuando está recién instalado.

Anónimo
10 years ago

En mi tablet bq en Estado (Acerca del dispositivo) me Aparece : Dirección MAC de Wi-Fi 0:0b:ba:02:a4 etc etc etc

Algo que ver con esto ???

Ya me he mosqueado con alguna “actualizacion ” de Flash que me ha aparecido

Gracias

10 years ago

Absolutamente nada que ver.

De nada,

—————
http://www.faq-mac.com

Lost your password? Please enter your email address. You will receive mail with link to set new password.

wpDiscuz
4
0
Me encantaría saber tu opinión, por favor, deja un comentariox
()
x