Hasta hace relativamente poco, las noticias que alertaban de una amenaza para sistemas Mac OS/X eran meramente anecdóticas. La inmensa mayoría de ejemplares de malware estaban dirigidos a sistemas Windows y sus usuarios lidiaban, casi con resignación, con todo tipo de códigos maliciosos con la ayuda de un antivirus, cortafuegos y otras medidas de seguridad. Los usuarios de Mac permanecían ajenos a esta situación mientras disfrutaban de sus productos Apple y alguno incluso se jactaba de la supuesta inmunidad de su sistema frente al malware.
Pero parece que las cosas están cambiando y, unido al crecimiento de usuarios de sistemas Mac e iOS, también aparecen una mayor cantidad de amenazas. La mayoría de estas amenazas son una versión adaptada de otras ya existentes en Windows, como Blackhole, que analizamos hoy aquí.
Blackhole (detectado por las soluciones de seguridad de ESET como OSX/Musminim) es una RAT (o herramienta de administración remota por sus siglas en inglés) cuya finalidad es poder tomar el control de un equipo infectado sin que el usuario tenga conocimiento. Existen multitud de estas herramientas para Windows y son comúnmente utilizadas por usuarios con pocos conocimientos para obtener el control de las maquinas infectadas.
Este tipo de herramientas suelen estar compuestas por dos partes, el cliente y el servidor. El cliente se instalará en la máquina o máquinas víctima mientras que el componente servidor será el que administre estas conexiones y realice las operaciones en las máquinas que tengan el cliente instalado. Con respecto a Blackhole, en la versión que actualmente se está desarrollando se incorporan las siguientes características:
• Ejecución remota de comandos en la terminal.
• Apertura de páginas webs usando el navegador por defecto.
• Envío de mensajes que son mostrados en la pantalla de la víctima.
• Generación de archivos de texto.
• Posibilidad de realizar apagados, reinicios e hibernación del sistema.
• Posibilidad de solicitar permisos de administrador.
Como vemos, un control casi total de la máquina infectada y esto tratándose de una versión aun en desarrollo. Esta herramienta incluye un mensaje por defecto cuando el usuario decide reiniciar su sistema que, traducido, vendría a decir lo siguiente:
“Soy un troyano y he infectado tu ordenador Mac. Lo sé, mucha gente piensa que los Macs no pueden infectarse, pero mira, ¡tu ESTAS infectado!. Tengo el control total de tu ordenador, puedo hacer todo lo que quiera y no puedes hacer nada para evitarlo.
En definitiva, soy un virus muy reciente, aun en desarrollo, así que tendré más funciones cuando esté finalizado.”
Las RAT no son algo nuevo y ya hace más de una década que Back Orifice empezó a afectar (y a a causar algunas situaciones curiosas) a sistemas Windows. Su facilidad de uso hace que muchos usuarios con malas intenciones y pocos conocimientos las prefieran a las botnets (a pesar de que su gestión en gran escala es bastante más limitada). Es por eso que este tipo de herramientas ha seguido evolucionando con el tiempo, incluyendo más opciones y, como vemos en este ejemplo, afectando a más sistemas operativos.
En el caso que nos ocupa, la parte de esta herramienta que se encarga de infectar a los equipos puede venir camuflada de muchas maneras. Tan solo hace falta usar un poco de ingeniería social para engañar al usuario con un enlace que descarga este software malicioso.
Es por todo lo comentado que, desde el laboratorio de ESET en Ontinet.com, recomendamos mantenernos alerta y desconfiar de cualquier archivo mínimamente sospechoso, aunque el icono nos induzca a pensar que se trate de una aplicación inofensiva. Si nos mantenemos alerta y usamos una solución de seguridad evitaremos que también nuestro Mac también sea víctima de las amenazas.
Josep Albors