Nueva variante de OSX/Imuler sigue siendo una amenaza para Mac OS X

El malware para Mac OS X sigue siendo poco en relación a las ingentes cantidades de códigos maliciosos que analizamos diariamente en nuestros laboratorios. No obstante, durante los últimos meses estamos viendo un crecimiento importante en la cantidad de muestras destinadas a infectar sistemas Mac, lo que denota el interés cada vez más creciente de los ciberdelincuentes en esta plataforma.

Cuando hablamos de técnicas de infección en Mac OS, vemos que no son muy diferentes a las usadas en Windows. Tenemos ejemplos como los del malware Flashback, que ha ido evolucionando durante meses hasta convertirse en una elaborada amenaza. Sin embargo, los ciberdelincuentes también pueden optar por usar la ingeniería social y engañar al usuario para que ejecute él mismo el archivo infectado, como en este caso.

La variante del código malicioso OSX/Imuler que vamos a analizar hoy se encuentra camuflada como una supuesta fotografía dentro de dos archivos comprimidos que se están propagando actualmente y tienen los siguientes nombres:

  • «Pictures and the Ariticle of Renzin Dorjee.zip”
  • «FHM Feb Cover Girl Irina Shayk H-Res Pics.zip».

Si abrimos cualquiera de los dos archivos observaremos una serie de fotografías de diferente temática según el archivo abierto. Si, por ejemplo, abrimos el archivo que contiene imágenes de la modelo Irina Shayk, actual novia del futbolista Cristiano Ronaldo, encontraremos la siguiente galería:

Como vemos todo parece normal hasta que nos fijamos en un detalle. Hay un archivo que simula ser una foto pero la extensión es la de una aplicación. Este es el sencillo truco que han usado los ciberdelincuentes para hacer que el usuario caiga en la trampa y ejecute el código malicioso.

El malware que se instala en nuestro sistema una vez ejecutado es un troyano que roba información de la víctima (capaz de enviar archivos y capturas de pantalla a un servidor remoto) y que además incluye el sistema infectado en una botnet. Estas funcionalidades son muy similares a las que realizaban versiones anteriores de este mismo código malicioso, por lo que es probable que esta nueva variante se haya lanzado para intentar eludir la detección por los software antivirus.

Además, OSX/Imuler tiene la capacidad de enviar archivos aleatorios del sistema al centro de control de la botnet. Para ello se usa un ejecutable adicional y específico llamado CurlUpload, que se descarga desde el C&C de la botnet cada vez que se inicia el malware. Este archivo ejecutable independiente fue visto por primera vez a principios de 2011 y presenta unas interesantes líneas de código que sugieren la posibilidad de que, inicialmente, fuera diseñado para Windows pero después fue recompilado para ser usado en Mac OS X.

Para evitar que nuestro sistema Mac OS X quede infectado es importante saber reconocer una aplicación maliciosa cuando esta simula ser otro tipo de archivo. Para ello, al igual que en explorador de Windows, tenemos la posibilidad de hacer que se muestren las extensiones de los archivos en el Finder, opción que se activa desde el panel de preferencias de esta aplicación.

Además, como protección adicional, siempre podemos contar con la ayuda de un antivirus como ESET Cybersecurity que detecta esta amenaza como OSX/Imuler.C. El creciente número de amenazas para el popular sistema operativo de Apple, hace recomendable que nos preocupemos cada vez más en la seguridad de nuestro sistema y dejemos de lado ciertas campañas de marketing que prometían un sistema invulnerable.

Es por ello que, desde el laboratorio de ESET en Ontienet.com recomendamos aplicar las mismas políticas de seguridad independientemente del sistema operativo que usemos. Solo así evitaremos caer en la sensación de falsa inmunidad y mantendremos nuestro sistema seguro ante posibles amenazas.

Josep Albors
@JosepAlbors

Win32/Georbot: descubierta una nueva red de bots contra el Gobierno de Georgia capaz de grabar vídeo y audio