Desde la LSPM: Troyano de alto riesgo para Mac OS X
Publicado por Carlos Hidalgo Tolentino en Noviembre 1, 2007
Considero esta entrada tan importante que voy a irla escribiendo poco a poco. Retiraré este primer párrafo cuando esté terminada
Hace unos minutos en la LSPM he visto un mensaje de Luis Barreiro acerca de un troyano para Mac OS X de alto riesgo y de gran difusión. En ese mensaje se hacía referencia a una entrada titulada Crimeware comes to Mac OS X en la bitácora McAffee Avert Blogs, en la que se explica el funcionamiento de este código dañino.
Funcionamiento
Al parecer, se trata de un troyano que utiliza dos partes: la primera, una película pornográfica que alega la necesidad de utilizar un codec no instalado para su correcta visualización; y la segunda, el instalador del codec propiamente dicho, que en realidad no instala más que el malware correspondiente. Ese instalador, cuyo nombre en código parece ser Puper o MacCodec, al parecer, existía únicamente para Windows, y ahora los servidores son capaces de detectar un navegador Mac y servir una imagen de disco .dmg en lugar de un ejecutable .exe para Windows.
Si el usuario no ha desactivado (como debería hacer) la opción Preferencias > General > Abrir archivos seguros… de Safari, la imagen de disco se monta y el instalador del malware se pone en marcha en cuanto hayamos verificado que, pese a contener una aplicación, queremos abrir el archivo. En cualquier caso, si hemos creído que la imagen de disco contiene un software útil —un codec nuevo, en este caso_—, el usuario hará doble clic sobre la imagen de disco, y posteriormente sobre el instalador.
Puesto que dicho instalador nos pide la contraseña de administrador, a partir de ese momento se puede instalar cualquier cosa en el sistema. ¿Qué es lo que instala MacCodec? Al parecer, instala un programa que sustituye las direcciones de los servidores DNS —los encargados de transformar www.google.es en 64.233.183.104, auténtica dirección que utilizan los ordenadores—, de modo que si uno teclea www.banesto.es, por ejemplo, puede acabar en un sitio falso, distinto del original, sin haber hecho clic en un enlace falso, lo que hace mucho más difícil de detectar los intentos de phising, o fraude bancario por internet.
Impacto
No se dispone de información sobre el número de equipos infectados, pero Avert Labs informa de que existen docenas de páginas web que sirven la imagen de disco que contiene MacCodec. Así mismo, el instalador y el programa no contienen fallos aparentes, de modo que funciona a la perfección, especialmente porque la infraestructura de servidores DNS trucados depende más de dichos servidores, de modo que, en principio, un usuario no debería poder advertir a primera vista que su ordenador ha sido modificado para utilizar DNS diferentes.
No hay información acerca de si resulta posible leer en el panel Red de Preferencias de Sistema los nuevos DNS, lo que ayudaría a la alarma.
Prevención
La mejor prevención consiste en la desconfianza. A no ser que se compruebe la existencia y utilidad de un programa por medio de otros canales, uno no debería instalar cualquier programa que se ofrezca por ahí.
(Via: Memoria de Acceso Aleatorio)
