Cazadores de virus han descubierto una botnet sofisticada, destinada a equipos Mac OS X, y el uso de una nueva técnica para operar. El malware ha infectado a cerca de 18.500 Macs, según el análisis estadístico reciente.
El malware de Mac, llamado iWorm, utiliza una compleja de puerta trasera multi-propósito, a través de la cual, los delincuentes pueden emitir comandos que obtiene el programa malicioso para llevar a cabo una amplia gama de instrucciones sobre los Macs infectados.
Según los investigadores, la puerta trasera hace un amplio uso de cifrado en sus rutas. Es capaz de descubrir otros software instalados en la máquina infectada y enviar información sobre el mismo (sistema operativo), abriendo una puerta, descargando archivos adicionales, retransmitiendo el tráfico, y enviando una consulta a un servidor web para adquirir las direcciones de los servidores C & C, esencialmente convirtiendo tu Mac en un zombi.
Instalación de iWorm
Durante la instalación, el programa malicioso instala primeramente una puerta trasera en el directorio /Library/Application Support/javaw, después de lo cual genera un archivo p–lista, de modo que la puerta trasera se abre automáticamente. Por otra parte, se disfraza como la aplicación com.JavaW y crea para sí misma un autostart a través de /Library/LaunchDaemons/.
Los análisis indican que el malware comienza a diseminarse en su Mac desde el arranque, guardando sus datos de configuración en archivos separados, e intenta leer el contenido del directorio /Library para determinar con cuál de las aplicaciones instaladas no esta´interactuando. Si el robot no puede encontrar directorios ‘no deseados’, según informes, realiza consultas al sistema para determinar cual es el directorio principal de la cuenta Mac OS X; comprueba la disponibilidad del archivo de configuración en el directorio, y escribe los datos necesarios para continuar operando.
El rol de Reddit.com
Muchos tipos malware envían comandos a los servidores que están controlando, para obtener instrucciones de sus creadores. El problema con el uso de estos servidores es que sus direcciones IP se especifican en el código del malware, y los servidores en general, pueden ser derribados.
Lo que es particularmente interesante del iWorm es que utiliza una novedosa técnica para operar: utiliza reddit.com. Los Macs infectados reciben comandos desde servidores bajo el control de los cibercriminales, utilizando la información de los mensajes posteados en Reddit con el fin de adquirir una lista de direcciones desde ahí:
“Entonces Mac.BackDoor.iWorm abre un puerto en un equipo infectado y espera una conexión entrante. Se envía una solicitud a un sitio remoto para adquirir una lista del servidor de controlado y, a continuación, se conecta a los servidores remotos y espera instrucciones. Curiosamente, con el fin de adquirir la lista de direcciones de servidor de control, el robot utiliza el servicio de búsqueda de reddit.com. Se envía una consulta de búsqueda que especifica los valores hexadecimales de los 8 primeros bytes del hash MD5 de la fecha actual. La búsqueda reddit.com devuelve una página web que contiene una lista de servidores botnets C&C y los puertos publicados por los delincuentes en los comentarios al post ‘minecraftserverlists’ con la cuenta ‘vtnhiaovyd’.”
El bot recoge un servidor aleatorio de las 29 direcciones en la lista y envía las consultas a cada uno de ellos. Las solicitudes de búsqueda para adquirir la lista se envían a reddit.com en intervalos de 5 minutos, según el informe del Dr. Web.
Es importante señalar que Reddit no es directamente el culpable de esto, y parece que reddit.com/r/minecraftserverlists se ha apagado. (La mayoría de los investigadores de malware no han podido ya obtener las muestras de archivos debido a que la página está caída.) Por tanto si esta es la única fuente del malware para C & C, entonces los autores del malware están fuera ya.
Sin embargo, según Graham Cluley ha señalado en su blog, nada detiene a los hackers para utilizar servicios alternativos, como Twitter, para comunicarse con la bootner ya creada:
La información recopilada por el sitio web de Doctor Web muestra que la mayoria d elos Macs infectados, están en los Estados unidos (4,610, representando el 26.1% de la botnet. Después Canada, y tercero el Reino Unido.
Cómo verificar si usted ha sido infectado?
De acuerdo a las investigaciones, el iWorm se instala en los siguientes lugares:
/Library/Application Support/JavaW /Library/LaunchDaemons
Para verificar si está infectado, abra la ventana del Finder, seleccione el Menú “Ir”. Desplacese a “Ir a la Carpeta”
Copie y Pegue la siguiente en la ventana que se abre:
/Library/Application Support/JavaW
Ahora haga clic en Aceptar. Si la ventana despliega el mensaje: “No se encuentra la carpeta” en la parte inferior izquierda, entonces no hay problemas. No está infectado.