Video: How to remove a virus from MacBook — Basic malware check for Mac (Noviembre 2024)
Los investigadores han descubierto malware diseñado para espiar a los usuarios en la Mac de un activista angoleño.
El investigador de seguridad independiente Jacob Appelbaum descubrió la puerta trasera nueva y previamente desconocida en la Mac del activista mientras estaba en el Oslo Freedom Forum, escribió Appelbaum en Twitter. Descubrió una segunda variante en la computadora de otro activista poco después.
"Parece ser una nueva pieza de malware con un comportamiento completamente nuevo", dijo Bogdan Botezatu de BitDefender a SecurityWatch .
Al menos en el caso del primer ataque, el activista fue víctima de un ataque de phishing en el que fue atraído a descargar e instalar el malware mientras estaba conectado a la Mac, dijo Botezatu.
Lo que hace el malware
La aplicación de puerta trasera parece tomar capturas de pantalla de la computadora del usuario y las almacena en una carpeta en el directorio de inicio del usuario llamada MacApp, escribió Sean Sullivan de F-Secure en el blog de la compañía. Los investigadores de F-Secure sospechan que se desarrolló comercialmente, dijo Sullivan a SecurityWatch .
Una vez instalada, la aplicación se agregó a la lista de elementos de inicio de sesión del usuario actual, una lista de aplicaciones que se ejecutan automáticamente cuando el usuario inicia sesión en la Mac. El malware subió las capturas de pantalla a dos servidores de comando y control, uno en los Países Bajos y el otro en Francia.
El principal propósito del servidor de comando y control es recopilar todas las capturas de pantalla, pero también almacena los nombres de host e información adicional sobre las máquinas infectadas, dijo Botezatu. Los investigadores de BitDefender descubrieron que la segunda variante de la puerta trasera de Mac también se comunicaba con un servidor en Rumania para descargar cargas y componentes adicionales.
Es posible que este servidor actúe como una alternativa para los delincuentes si los otros servidores se suspenden, dijo Botezatu.
Si bien el malware en sí era "poco sofisticado", todavía era capaz de recopilar información sobre las actividades del usuario en esa computadora "sin hacer demasiado ruido", dijo Botezatu.
¿Se robó la ID de Apple?
El malware se firmó con una ID de desarrollador de Apple válida, lo que significaba que no sería detectado por la funcionalidad Gatekeeper en Mac OS X. Apple introdujo Gatekeeper, que impide la ejecución de aplicaciones no firmadas descargadas de Internet, en Mac OS X Mountain Lion and Lion v10.7.5 el año pasado. BitDefender cree que esta es la primera pieza de malware de Mac firmada digitalmente con una ID de Apple legítima.
En este momento no se sabe si la clave fue robada de un desarrollador legítimo o si el desarrollador de malware engañó a Apple para que generara la identificación. Teniendo en cuenta que el nombre es similar a una famosa estrella de Bollywood que falleció recientemente, es probable que el desarrollador haya creado una identidad falsa como parte del proceso de solicitud, dijo Botezatu.
Los usuarios pueden mirar en sus directorios de inicio para ver si hay una carpeta de MacApp para averiguar si han sido infectados.
Si bien el malware era "cojo", ya que se detectaba fácilmente, todavía era "mortal", dijo Appelbaum. "El problema es que el autor fue lo suficientemente bueno como para poner a alguien en peligro mortal", escribió Appelbaum en Twitter.
