Intego ha lanzado un aviso de seguridad al respecto de una nueva variante del troyano para Mac OS X Imuler, descubierto por primera vez en septiembre de 2011 que en esta ocasión viene enmascarado en como un archivo de imagen.
Esta variación, denominada Imuler.C, puede considerarse como de riesgo bajo ya que no se encuentra muy distribuida en Internet, pero esa es una circunstancia que puede cambiar en cualquier momento.
Esta nueva variante viene en un archivo comprimido que incluye varias imágenes junto con un PDF que contiene texto en chino. Las dos muestras encontradas portaban los nombres “Pictures and the Ariticle of Renzin Dorjee.zip” y “FHM Feb Cover Girl Irina Shayk H-Res Pics.zip.”. En su interior, además de una serie de fotografías y el PDF, cuentan con una aplicación (.app) con un icono que simula una fotografía. Al intentar abrir esta foto el instalador del troyano se pone en acción, instalando una puerta trasera (backdoor) en /tmp/.mdworker junto con otros archivos en este directorio. En ese momento se lanza un proceso llamado .mdworker, de nombre muy parecido a un proceso real de Mac OS X llamado mdworker usado por Spotlight para indexar archivos.
También se instalar un lanzador de procesos en ~/librería/LaunchAgents/checkvir.plist junto con un ejecutable en la misma carpeta que se asegura de que el malware se arranque cuando el usuario inicia sesión. Tras un reinicio, el proceso .mdworker es borrado, y el ejecutable checkvir se pone en marcha.
Este troyano busca datos del usuario y trata de subirlos a un servidor, además de tomar pantallazos y enviarlos al mismo servidor. Además, el troyano es capaz de conectarse a un servidor externo para descargar nuevos ejecutables.
Como media de precaución, si un usuario desconfía de un archivo, la mejor solución es comprobar la extensión del mismo: generalmente las extensiones de los archivos vienen ocultas en Mac OS X, pero puede forzarse a que el sistema las muestre en las Preferencias del FInder (pestaña avanzado, mostrar extensiones de los nombres de archivo) o solicitando la información del mismo (atajo de teclado con un archivo seleccionado, comando + tecla i) y observando si el nombre del archivo, que simula ser una fotografía, acaba en la extensión .app.
Apple actualizó poco tiempo después de lanzarse el troyano Imuler las definiciones de identificación de Xprotect para Snow Leopard y Lion de forma que la variante original podía ser identificada por el sistema. Sin embargo, no hay noticias de que la compañía de Cupertino haya actualizado Xprotect para esta nueva variante.
