Un nuevo malware que afecta a los usuarios de OS X se ha dado a conocer en una lista de correo electrónico dedicada a la industria de los antivirus. Los detalles de este malware, que potencialmente puede convertirse en una amenaza muy seria pero que actualmente no está ampliamente distribuido por internet, son muy escasos. Adicionalmente, los puntos a los que llama el malware han sido cerrados para evitar que el software pueda recibir comandos y ejecutarlos.
Por lo que se conoce hasta ahora, según un artículo publicado en el blog de Intego, este malware utiliza un exploit para sobrepasar Gatekeeper. Una vez instalado, est malware dirigido (es decir, no anuncia una máquina infectada sino que está dirigido a un usuario o grupo de máquinas específicos) recibe las órdenes y comandos del atacante, y la propia máquina ayuda al hacker a sobrepasar los firewalls que pueda encontrar por el camino.
Este ataque tiene una segunda parte: utiliza un componente binario que es una versión modificada de OpenSSH 6.0p1 para crear una conexión segura con comunicación encriptada para esconder el tráfico entre la máquina y el atacante. Los archivos que componen este malware están escondidos en una carpeta arbitraria para simular un componente de impresión, de forma que el tráfico generado parezca el envío de un documento a una impresora en red, tratando de despistar a usuarios y especialistas en seguridad. Esta versión modificada de OpenSSH además no guarda Logs, para evitar dejar rastros y encripta la comunicación usando una clave RSA:
Los archivos que incluyen el malware se llaman:
- com.apple.cocoa.plist
- cupsd (Mach-O binary)
- com.apple.cupsd.plist
- com.apple.cups.plist
- com.apple.env.plist
¿Cómo puedes infectarte?
No se ha dado de momento información de cual es el vector de ataque y que exploit usan para sobrepasar Gatekeeper.