Como siempre decimos, de la acción del malware y de los cibercriminales no se libra nadie… Tampoco los usuarios de Mac OS X. Hoy hablamos del último descubrimiento recogido en el blog Seguridad Apple: OSX/Crisis, que es a la vez un dropper y un backdoor y parece haber sido desarrollado con exploits de kit de explotación habituales.
El malware ha sido descubierto en el repositorio de Virus Total, por lo que, al no haberse visto de forma activa, no se sabe muy bien ni su procedencia ni el fin último. OSX/Crisis crea, una vez instalado, una serie de carpetas con nombres fijos o aleatorios, siempre dependiendo de si consigue ejecutarse con permisos de administrador en el sistema o no. Alguno de los nombres que utiliza son:
/Library/ScriptingAdditions/appleHID/
/System/Library/Frameworks/Foundation.framework/XPCServices/
Este último nombre de carpeta se asigna solo si OSX/Crisis ha logrado ejecutarse con permisos de administración, asegurándose de esta manera su supervivencia tras el reinicio del sistema.
Parece que el malware utiliza sistemas de ofuscación para dificultar las tareas de los analistas, y se conecta a la dirección IP fija 176.58.100.37 cada cinco minutos, lo que pudiera indicar que se ha estado controlando desde esta dirección.
No se tiene constancia, sin embargo, de que este malware se haya estado distribuyendo o o que haya infectado a los usuarios, aunque seguiremos muy de cerca las novedades para manteneros al tanto de cualquier nueva información que podamos compartir.