Backdoor.MAC.Eleanor, por su denominación de Bitdefender, es un troyano integrado en una aplicación que está accesible online a través de sitios web de descargas de aplicaciones legales. La aplicación en cuestión se llama EasyDoc Converter y supuestamente esta aplicación convierte archivos entre diferentes formatos con un interfaz simple. El problema es que en segundo plano, al ejecutarse por primera vez, instala este troyano. La aplicación no está firmada por una ID de Apple.
Al ejecutar la aplicación por primera vez, se instala en el Mac comprometido:
Un servicio oculto que apunta a la red Tor: este componente crea un servicio oculto que apunta al a red Tor que permite al atacante acceder de forma anónima al centro de control y comando desde el exterior utilizando un interfaz web a través de una dirección generada específicamente para Tor.
Un servidor PHP en la máquina infectada: este componente actúa como centro de control de la máquina infectada y le da al atacante control completo sobre la máquina a través de esa dirección ofuscada a través de Tor. Después de autenticarse con la correspondiente contraseña, el atacante puede acceder a un panel de control vía navegador que le permite las siguientes acciones:
- Gestión de archivos (ver, editar, renombrar, borrar, subir, descargar)
- Ejecución de comandos
- Ejecución de scripts en PHP, PERL, Python, Ruby, Java, C
- Acceso a comandos de bash
- Testeo de firewall en busca de reglas y localización de puntos de entrada
- Conexión y administración de bases de datos
- Acceso a la lista de procesos de la máquina
- Envío de correos electrónicos con adjuntos
Adicionalmente el malware utiliza un daemon para actualizarse o disparar otras tareas automatizadas creadas por el atacante.
Como saber si estamos infectados y cómo eliminar el troyano
Evidentemente, este troyano está atado a esa aplicación en concreto, pero es muy habitual que el atacante utilice diferentes aplicaciones con diferentes nombres para incluir el malware e infectar usuario. De momento, el vector de ataque conocido es EasyDoc Converter (interfaz en la imagen).
Para descubrir si estamos infectados por este troyano, hay que acceder a Librería de nuestro usuario y mostrar los archivos invisibles. El troyano intenta enmascarar sus archivos haciendo pensar al usuario que los mismos dependen de una aplicación muy popular, Dropbox, por lo que utiliza este nombre para enmascarar los archivos.
Si en esa ubicación encontramos en el primer nivel una carpeta invisible con el nombre .Dropbox, entonces estamos en problemas. Esa es una carpeta a eliminar.
No hay que confundir esta carpeta con la carpeta (oculta) legítima de Dropbox al respecto de su servicio, que se encuentra en el primer nivel de la carpeta de usuario.
Adicionalmente, el troyano instala tres LaunchAgents ubicados en:
- Tor Hidden Service : ~/Library/LaunchAgents/com.getdropbox.dropbox.integritycheck.plist
- Web Service(PHP): ~/Library/LaunchAgents/com.getdropbox.dropbox.usercontent.plist
- PasteBin Agent: ~/Library/LaunchAgents/com.getdropbox.dropbox.timegrabber.plist
La eliminación de la carpeta, junto con los 3 archivos en LaunchAgents y evidentemente, la aplicación EasyDoc Converter eliminaría el troyano de una máquina comprometida.
De nuevo, recomendar la no instalación de aplicaciones que no estén firmadas por una ID de Apple salvo que tengamos muy, muy claro que provienen de un desarrollador confiable, incluso cuando la descarga de la misma está ubicada en sitios de descarga de software conocidos e incluso con reputación.
Hola,
Como mostrar mostrar los archivos invisibles, no lo recuerdo.
Gracias
Un ejemplo:
http://www.faq-mac.com/2013/05/usar-solo-un-applescript-para-cambiar-una-funcionalidad-en-os-x/
Abre la app «Terminal» y ejecuta el comando:
$ ls -a Library/
y luego
$ls -a LibraryLaunchAgents/
Saludos.
También puedes usar la excelente herramienta de búsqueda EasyFind de Devon Technologies también disponible en la MAS:
http://www.devontechnologies.com/products/freeware.html
Busca lo que quieras donde quieras con los atributos que quieras en tu ordenador, en local, servidores conectados…