«No hay virus para las Mac»…¡Mientes con todos los dientes! pero si alguna vez hicieron caso a mis recomendaciones, se habrán dado cuenta de que la realidad no es así y el software fabricado por Apple está lleno de vulnerabilidades.
Hace un par de días el equipo de F-Secure dio a conocer algunos detalles de un troyano para Mac que se hace pasar por un documento PDF, técnica de ataque que es muy habitual en equipos Windows.
Cuando se abre el archivo se carga un documento y en segundo plano se instala un backdoor para controlar el equipo remotamente, las víctimas piensan que simplemente abrieron un documento PDF en lugar de una aplicación ¿como? haciendo uso del viejo truco de la doble extensión, es decir, mediante un nombre .pdf.exe, se está distribuyendo este troyano para Mac OS X, al que se le ha catalogado como OSX/Imuler.
Otras empresas como Eset y Sophos también comentaron el caso. Como vemos, las infecciones con un par de clics no son exclusivas de Windows.
El sentido común siempre debe estar presente, nunca es bueno abrir archivos no solicitados o de origen desconocido.
En esta ocasión, el documento elegido tiene que ver con la polémica existente entre China y Japón por la soberanía de unas islas, conocidas como Diaoyu para China y como Senkaku para Japón. El documento está escrito en Chino, así que el objetivo del malware parecen ser usuarios de esa nacionalidad.
Una vez ejecutado en el sistema se conecta de forma «reverse» a unos servidores desde los que se controlan las víctimas. En el sistema queda instalado en forma de dos archivos y no tiene protección contra borrado, es decir, no hay procesos comprobando que el troyano se elimine, por lo que basta con eliminar estos dos archivos del sistema.
/users/%user%/library/LaunchAgents/checkvir
/users/%user%/library/LaunchAgents/checkvir.plist
La difusión del mismo no ha sido masiva, ya que el hacer uso de extensión .exe en ficheos limita muchísimo su paso por firewalls HTTP y por supuesto, como archivo adjunto en correos electrónicos, donde parece que sería el hábitat natural para el que se crea un engaño de documento PDF.
