El malware a través de códecs se consolida contra usuarios de Mac
Sigue la “moda” de introducir malware en los sistemas usando como reclamo la necesidad del uso de codecs específicos para poder reproducir un vídeo.
Estos codecs suelen ser ejecutables para Windows, pero últimamente (y no parece ser ya algo pasajero o experimental) también los sistemas Mac se ven afectados. Los resultados de los distintos motores antivirus según la versión del troyano, también sorprenden.
Descargables desde decenas de direcciones web alojadas a menudo en la Russian Business Network, se encuentran a día de hoy numerosas versiones del troyano Zlob o “simples” DNSChangers que modifican los servidores DNS para que apunten a sistemas bajo el dominio de los atacantes. Varias semanas después de que se detectara un primer ataque real y funcional dirigido específicamente contra usuarios Windows y Mac, continúa la presencia de servidores que alojan este tipo de troyanos.
El troyano en concreto, activo a día de hoy, se descarga desde la URL (ofuscada) http://???solution.com/download.php?id=WXYZ.
Ese PHP determina si quien lo visita lo hace con el sistema Windows o Mac. Dependiendo de su conclusión, se descarga realmente: http://???solution.com/playcodec1123.exeohttp://???solution.com/playcodec.dmg
Los usuarios de Mac tendrían que introducir la contraseña de administrador para que la instalación del troyano se lleve a cabo. Sólo los más precavidos usando Windows (los que lo utilicen con usuario sin privilegios) tendrían que hacer lo mismo.
Los motores antivirus parecen haber reaccionado y, al menos con la muestra que hemos tratado, el espécimen es incluso más detectado en su versión para Mac.
El ejecutable para Windows, el día 20 era reconocido por siete de 31 motores, lo que significa un 22.59% de detección. http://www.virustotal.com/es/resultado.html?31c88ab20f75b7aa9bc434856fed2548
El ejecutable para Mac, es reconocido por once de 32 motores, lo que significa un 34.38% de detección. http://www.virustotal.com/es/resultado.html?5fd34c06e5b0a30d13722a9d72fce2b1
El ataque, teniendo en cuenta su duración, persistencia y “profesionalidad”, quizás les esté siendo rentable a las mafias informáticas y por ello no está resultando flor de un día. Lleva tres semanas activo y adaptándose con nuevas versiones de malware para ambas plataformas.
Aunque dependerá mucho del tipo de muestra, no deja de ser llamativo que el espécimen concreto sea detectado por más motores en su versión Mac, e incluso que antivirus que no comercializan solución específica para los entornos Apple, lo reconozcan.