Durante
esta semana Intego reportó el descubrimiento de una nueva muestra de
malware para sistemas operativos
OS X encontrada en
Virus Total, subida allí por el usuario
Belarus.
Dicha muestra de
malware es un fichero con extensión .app que simula
ser una fotografía tomada por alguna cámara digital, para lo que se
había elegido un nombre común de los utilizados por dichos dispositivos,
y en los que se camufla un
backdoor. Dicho
troyano
se conecta a un panel de control que en estos momentos está caído, así
que se piensa que puede haber sido utilizado para algún tipo de ataque
dirigido.
El malware, al que se ha llamado OSX/Leverage.A, una vez ejecutado se copia a sí mismo a la ruta /Users/Shared/UserEvent.app y crea unos LaunchAgents para lograr la persistencia en el sistema.
 |
| Figura 1: Copia de OSX/Leverage.A y LaunchAgent creado |
A partir de ese momento trata de conectarse a un panel de control usando el puerto 7777 y, entre otras cosas, trata de descargarse esta imagen relativa al Syrian Electronic Army,
lo que ha hecho pensar que estuviera siendo utilizado en una de las ya
muchas operaciones de hacking de este grupo, o solo de un simpatizante.
 |
| Figura 2: Imagen del Syrian Electronic Army que se intenta descargar el malware |
Dependiendo de las opciones de
configuración de GateKeeper y el medio por el cuál fuera distribuido esta pieza de
malware - no se tienen detalles del método utilizado -, podría ser parado por el sistema de protección en
OS X 10.8 Mountain Lion, o mostrar una alerta al usuario.
Apple ha decidido tomar cartas en este asunto, y
ha actualizado XProtect para que sea detectado sea cual sea su distribución por
Internet.
 |
| Figura 4: Actualización de XProtect para detectar OSX/Leverage.A |
En cualquier caso te recomendamos que tengas instalado, actualizado y configurado con protección en tiempo real un
antimalware en el sistema.
Fuente http://www.seguridadapple.com
