iWorm: distribuyendo malware para Mac utilizando software troyanizado

apple_worm

Durante este fin de semana se ha hablado bastante de iWorm, una nueva amenaza para Mac OS que, según la información obtenida por la firma de seguridad Dr. Web, habría afectado a más de 17.000 Mac en todo el mundo (más de 800 de ellos en España).

Si bien las cifras de infección no son especialmente elevadas si las comparamos con lo que estamos acostumbrados a ver en Windows, no deja de ser un incidente más en la lista de malware orientado a sistemas Mac OS, el cual en los últimos años ha experimentado un importante crecimiento.

Viejas técnicas, nuevos objetivos

Los delincuentes han utilizado una técnica de probada eficacia para conseguir infectar a sus víctimas, y no es otra que la de infectar versiones modificadas de programas legítimos que se podían descargar desde sitios de compartición de enlaces como The Pirate Bay.

En esta ocasión, el cebo elegido han sido conocidos programas de Adobe como Photoshop CS o Illustrator CS, algo normal si se quiere llegar al mayor número de posibles víctimas. No obstante, las medidas de seguridad incorporadas por Apple en las últimas versiones de su sistema operativo hacen su trabajo alertándonos de aquellos indicios que pueden ayudarnos a detectar que estamos ante una amenaza.

Si descargamos e instalamos el programa troyanizado, el sistema muestra una alerta indicando que la aplicación no viene firmada. Esta característica viene integrada por defecto en las últimas versiones de Mac OS X y está pensada para evitar situaciones como esta, aunque, como acabamos de comprobar, aún quedan usuarios que no la tienen en cuenta.

Obteniendo el control de la máquina infectada

Si hemos dado permisos a la aplicación troyanizada para que se instale en nuestro sistema y, consecuentemente, infecte nuestra máquina, el malware se copiará en una carpeta del sistema que le garantiza la ejecución en cada reinicio. Además, el nombre que se autoasigna (JavaW) puede hacer pensar que se trata de un servicio legítimo de Java, confundiendo así al usuario.

Una vez el malware se encuentra presente en el sistema, este intenta conectarse con una serie de servidores en unas direcciones IP que se podían encontrar en varios posts de Reddit. Sin duda, una estrategia curiosa para proporcionar estos datos aunque tampoco es la primera vez que vemos algo similar.

Estos servidores actuan de centro de mando y control (C&C) de la botnet formada por estos equipos Mac infectados y son los encargados de enviar las ordenes que deseen ejecutar los delincuentes tras esta amenaza. Si bien el número de equipos Mac afectados y dentro de esta botnet no es excesivo, sí que es lo suficientemente grande para realizar cierto tipo de ataques como enviar spam, propagar nuevos ejemplares de malware o realizar ataques de denegación de servicio.

Detectando y eliminando iWorm

Aunque el número de ordenadores Mac afectados no ha sido especialmente elevado, se han tomado las medidas necesarias para evitar que siga propagándose. Apple ha añadido iWorm a la base de firmas de XProtect, su herramienta de seguridad que, aunque dista mucho de ser una solución completa, ofrece una protección básica contra aquellas amenazas ya detectadas.

Por supuesto, las soluciones de seguridad avanzadas como ESET CyberSecurity detectan iWorm (OSX/Iservice.AG en el caso de ESET) y son capaces de eliminarla sin problemas. También es importante destacar que, en el caso de contar con un cortafuegos en nuestro sistema (incluyendo el que Apple incorpora de serie), se nos solicitarán permisos para las conexiones de JavaW, otro síntoma de la infección que puede ayudarnos a identificar si nuestro sistema se encuentra infectado.

Por su parte, Reddit ha eliminado aquellos posts en los que se ofrecía información al malware sobre aquellas direcciones IP a las que debía conectarse, por lo que podríamos decir que la amenaza está prácticamente controlada.

Conclusión

Si bien el número de ordenadores Mac infectados ha sido bajo, este tipo de incidencias de seguridad debe servirnos para recordar que los vectores de ataque que tan buenos resultados les han proporcionado a los delincuentes durante años en otras plataformas como Windows pueden ser portados sin mayores problemas a otras plataformas. No nos creamos invulnerables por usar tal o cual sistema y apliquemos unas medidas de seguridad adecuadas.

Josep Albors

Créditos imagen: andylangager / Foter / CC BY-NC

Crónica de Navaja Negra: charlas, talleres y miguelitos