La empresa de desarrollo de software de seguridad Malwarebytes acaba de exponer lo que podría ser el primer caso conocido de malware para Mac para el año 2017.
Parece ser una pieza de malware altamente anticuada. En otras palabras, no es súper avanzado y está utilizando métodos para infectar máquinas que son tan conocidas que solo un pequeño número de usuarios desprevenidos podrían ser víctimas de él..
Según el informe de Malwarebytes, este malware se basa en dos cosas: un archivo oculto y la acción del usuario para solicitar el archivo. Esto se puede lograr con una interfaz de usuario que parezca legítima y luego fuerce el lanzamiento del malware en lugar de lo que el usuario esperaba lanzar.
Este malware parece estar dirigido a las instituciones de investigación biomédica más que cualquier otra persona, por lo que en realidad no está destinado a dañar a la población en general. Sin embargo, abre una puerta trasera y permite que cualquiera que esté escuchando obtenga información básica, como capturas de pantalla, datos de tiempo de actividad del sistema, posición del cursor del mouse y más; una grave violación de seguridad.
Esta información se pasa discretamente al oyente a través de un servidor de terceros, por lo que requiere una conexión a Internet. Para evitar que se note, una variable booleana especial dentro del código evita que la aplicación de malware sea detectada en el Dock.
También es notable cómo este malware tiene código para simular los movimientos del cursor del mouse y los clics, así como las pulsaciones de teclas del teclado, que parecen ser medios de control remoto cada vez que el oyente quiere tener más acceso. Quizás con un poco de ayuda del horario de tiempo de actividad, el oyente sabrá cuando las personas están lejos y puede hacer cosas maliciosas cuando sea el momento adecuado.
Según los informes, el código funcionó bien en máquinas basadas en Linux, así como en las Macs que ejecutan macOS de Apple, por lo que parece ser viable en dos plataformas diferentes.
Curiosamente, Malwarebytes señala que debido a que el malware utiliza un método de ataque tan anticuado, sería fácil detectarlo y eliminarlo a través de un ojo entrenado o con programas de eliminación de malware. Dicho esto, está infectando máquinas que claramente no reciben mucho tratamiento antimalware, por lo que tal vez deberían comenzar.
Los expertos que realizaron la ingeniería inversa del malware encontraron archivos de comentarios que sugieren que este malware ha estado en vigencia durante bastante tiempo; al menos desde OS X Yosemite (lanzado en 2014). La razón por la que este malware puede haber pasado desapercibido durante tanto tiempo fue porque se dirigió a una muestra muy pequeña de máquinas. Si hubiera estado presente en más máquinas, podría haberse notado y reportado mucho más rápido.
Es muy poco probable que su Mac en casa haya sido infectada con este malware, que se está doblando OSX.Backdoor.Quimitchin, llamado así por los espías aztecas que eran conocidos por infiltrarse en otras tribus para obtener información. Sin embargo, eso no quiere decir que otro malware malintencionado no pueda infectar su máquina, por lo que siempre debe tener cuidado con lo que descarga.
