Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
07/10/2014
iWorm: distribuint malware per a Mac utilitzant programari troyanizado
Durant este cap de setmana s’ha parlat bastant d’iWorm, una amenaça nova per a Mac OS que, segons la informació obtinguda per la firma de seguretat Dr. Web, hauria afectat més de 17.000 Mac en tot el món (més de 800 d’estos a Espanya).
Si bé les xifres d’infecció no són especialment elevades si les comparem amb el que estem acostumats a veure en Windows, no deixa de ser un incident més en la llista de programari maliciós orientat a sistemes Mac OS, el qual en els últims anys ha experimentat un creixement important.
Velles tècniques, nous objectius
Els delinqüents han utilitzat una tècnica de provada eficàcia per a aconseguir infectar les seues víctimes, i no és una altra que infectar versions modificades de programes legítims que es podien descarregar des de llocs de compartició d’enllaços com The Pirate Bay.
En esta ocasió, l’esquer triat ha sigut coneguts programes d’Adobe com Photoshop CS o Illustrator CS, quelcom normal si es vol arribar al nombre més gran de víctimes possibles. No obstant això, les mesures de seguretat incorporades per Apple en les últimes versions del seu sistema operatiu, fan el seu treball alertant-nos d’aquells indicis que poden ajudar-nos a detectar que estem davant d’una amenaça.
Si descarreguem i instal·lem el programa troianitzat, el sistema mostra una alerta la qual indica que l’aplicació no ve firmada. Esta característica ve integrada per defecte en les últimes versions de Mac OS X i està pensada per a evitar situacions com esta, malgrat que, com acabem de comprovar, encara queden usuaris que no la tenen en compte.
Obtenció del control de la màquina infectada
Si hem donat permisos a l’aplicació troianitzada perquè s’instal·le en el nostre sistema i, conseqüentment, infecte la nostra màquina, el malware es copiarà en una carpeta del sistema que li garantix l’execució en cada reinici. A més, el nom que s’autoassigna (JavaW) pot fer pensar que es tracta d’un servici legítim de Java, i així confon l’usuari.
Una vegada el malware es troba present en el sistema, este intenta connectar-se amb una sèrie de servidors en unes direccions IP que es podien trobar en diversos apunts de Reddit. Sens dubte, una estratègia curiosa per a proporcionar estes dades, encara que tampoc és la primera vegada que veiem quelcom semblant.
Detecció i eliminació d'iWorm
Encara que el número de ordinadors Mac afectats no ha sigut especialment elevat, s’han pres les mesures necessàries per a evitar que continue propagant-se. Apple ha afegit iWorm a la base de firmes d'XProtect, la seua ferramenta de seguretat que, encara que dista molt de ser una solució completa, oferix una protecció bàsica contra aquelles amenaces ja detectades.
Per descomptat, les solucions de seguretat avançades com ESET CyberSecurity detecten iWorm (OSX/Iservice.AG en el cas d’ESET) i són capaços d’eliminar-la sense problemes. També és important destacar que, en el cas de comptar amb un tallafocs en el nostre sistema (amb la inclusió del que Apple incorpora de sèrie), se’ns sol·licitarà permisos per a les connexions de JavaW, un altre símptoma de la infecció que pot ajudar-nos a identificar si el nostre sistema es troba infectat.
Per la seua banda, Reddit ha eliminat aquells apunts en els quals s’oferia informació al malware sobre aquelles direccions IP a les quals havia de connectar-se; per la qual cosa podríem dir que l’amenaça està pràcticament controlada.
Conclusió
Si bé el nombre de ordinadors Mac infectats ha sigut baix, este tipus d’incidències de seguretat ha de servir-nos per a recordar que els vectors d’atac, que tan bons resultats han proporcionat als delinqüents durant anys en altres plataformes com Windows, es poden portar sense majors problemes a altres plataformes. No ens creguem invulnerables per usar un sistema o un altre, i apliquem unes mesures de seguretat adequades.