Investigadores de Alien Vault descubrieron dos spyware para Mac que usan las mismas técnicas que se han usado en Windows por años para conseguir información confidencial. El ataque descubierto afecta a varias ONG pro-Tibet, y explota vulnerabilidades que ya han sido parchadas de Office de Microsoft y Java de Oracle.
Los troyanos se instalan cuando un usuario abre un documento de Word infectado, o hacen clic en links enviados a través de correo electrónico. Una vez instalados, los troyanos envían información sobre el computador, usuario y nombre de dominio asociado con el Mac a un servidor remoto controlado por los atacantes, esperando futuras instrucciones. El usuario difícilmente se dará cuenta de que hay algo raro.
Este es uno de los primeros casos de ataques de este tipo contra Macs que se han registrado. Se trata de ataques que han plagado a los usuarios de Windows por años, pero dado el aumento de uso de equipos de Apple (Google por ejemplo comenzó a usar Mac en lugar de Windows), era esperable que sucediera algo así.
Un investigador de la firma de seguridad ESET, Alexis Dorais-Joncas, también confirmó la presencia de estos ataques, detallando el cifrado usada por los troyanos para ocultar las comunicaciones entre los Macs infectados y el servidor de control. También describió una serie de instrucciones enviadas probablemente por un humano a una máquina infectada, que usaban comandos de Unix para revisar carpetas de archivos donde normalmente se almacenan contraseñas, cookies y descargas.
Los troyanos instalan una puerta trasera (backdoor) aprovechando fallas críticas en dos programas ampliamente usados en Mac y que no siempre son actualizados. Uno es Microsoft Office, que parchó la vulnerabilidad en 2009, y el otro es un bug no especificado en Java, que fue reparado en octubre pasado.
Los informes respecto a malware que ataca a Macs han ido aumentando de forma constante en los últimos tres años. La mayoría de las infecciones corresponden a engaños a los usuarios, como los antivirus falsos.
Según los investigadores, cabe hacer notar que además de estar “poniéndose al día” con los equipos Apple, los atacantes están desarrollando sistemas multi-plataforma, que identifican el sistema operativo del usuario y se instalan como corresponda según el caso.
Link: Surveillance spyware migrates from Windows to Mac OS X (ArsTechnica)
