Este malware ha sido descubierto por el equipo de seguridad de Intego tras la sospecha de una persona que descargó la muestra desde un sitio web. El malware se distribuye como un archivo de instalación, luego si el usuario hace clic sobre el link de descarga desde Apple Safari, la instalación dará comienzo, ya que Safari toma como seguros los archivos .pkg y mpkg por default.
Una vez instalado, el troyano carga una librería dinámica .dylib que se instala en la ruta «~/Library/Preferences/Preferences.dylib», además de un código de auto-ejecución que se encarga también de eliminar software de seguridad red, como firewalls o antivirus. Una vez se ejecuta el troyano, se conecta a un servidor remoto enviando información sobre la máquina infectada, como la dirección Mac y un identificador único (en MD5) para ser gestionado desde un panel de control, según el análisis realizado por Intego.
Esta conexión utiliza cifrado basado en RC4 para enviar los mensajes de forma totalmente oculta en firewalls. Como clave del algoritmo RC4 utiliza un hash MD5 que calcula a partir del Identificador únioc UUID del equipo, lo que hace que cada clave de cifrado sea distinta, y al mismo tiempo fácil de calcular para él.
Y por si fuera poco el UUID es transmitido al servidor en el campo USER-AGENT de la petición HTTP que hace, lo que le permite al servidor calcular la clave de descifrado RC4 haciendo el hash MD5 de este valor. Además, el troyano tiene capacidades de dropper, es decir, de descargar nuevo software, pero en las pruebas que han realizado no han visto funcionando esta característiica.
El troyano es de tipo «Reverse», esto es algo nuevo y además trae medidas de protección de entorno como la eliminacion de medidas de seguridad tales cómo el firewall, esto indica que se está creciendo en complejidad en la evolución de los troyanos para Mac OS X.
Por supuesto, no se debe descargar ningún componente de instalación que no vengan directamente desde la web del fabricante, y se recomienda hacer uso de una solución antivirus que permita tener las firmas actualizadas de este tipo de malware en el mismo momento en que se haga público, como es este caso.
