Un troyano ataca a los usuarios de Mac

Se han detectado diversas variantes de un troyano destinado a usuarios de Mac. De momento únicamente se ha encontrado hospedado en páginas de contenido pornográfico, a través de las cuales intentan engañar a los usuarios para que se instalen el troyano.

Para atraer a las potenciales víctimas, las direcciones de las webs que contienen los troyanos han sido anunciadas a través de spam, incluyendo el envío de los enlaces a varios foros de usuarios de Mac.

el usuario visita una de las páginas y selecciona visualizar uno de los vídeos, el servidor web detecta si el sistema es un Windows o Mac a través del user-agent del navegador.

En función de ese dato, la página web intentará que el usuario se instale la versión del troyano para Windows (extensión .exe) o para Mac (extensión .dmg).

La estrategia de los atacantes consiste en hacer creer al usuario que necesita instalar un componente adicional, un codec, para poder visualizar el vídeo. El usuario de Mac tendrá que introducir la contraseña de administrador para proceder a la instalación del troyano, si bien muchos podrían hacerlo creyendo que es necesario para instalar el componente que les permitirá ver el deseado vídeo.

Una vez el troyano se instala lleva a cabo su cometido, que no es otro que modificar los servidores DNS del sistema para que apunten a unos nuevos que están bajo el dominio de los atacantes. Estos servidores DNS llevarían a cabo un ataque del tipo pharming, ya que pueden redireccionar ciertos dominios, como el de algunas entidades bancarias, a servidores que hospedan phishing con el fin de sustraer las credenciales de acceso de las víctimas.

La detección antivirus es de momento escasa, normal si tenemos en cuenta que el malware suele ser, en la práctica, un terreno de Windows, en incluso muchas casas antivirus no tienen soluciones para Mac. Las diversas variantes a las que tenemos acceso en Hispasec hasta el momento son detectadas por ninguno, uno, o a lo máximo dos productos antivirus, entre los que se encuentra Sophos que lo identifica con el nombre de “OSX/RSPlug-A” y Mcafee como “OSX/Pupe”.

La recomendación obvia a los usuarios de Mac es que no instalen ningún software de fuentes no confiables y, dado este caso en concreto, especialmente desconfíen de cualquier web de contenido adulto que les incite a instalar un supuesto codec de vídeo.

Hasta la fecha la mayoría del malware para Mac era anecdótico, pruebas de concepto o laboratorio, que realmente no tenían una repercusión significativa entre los usuarios de Mac. En esta ocasión estamos ante un caso real de malware funcional desarrollado por atacantes que han fijado, como parte de sus objetivos, el fraude online a usuarios de Mac.