Troyano para Mac es atribuido al Ejercito Electrónico Sirio

Ejercito Electrónico Sirio, nuevo malware

Hace unos días, se descubrió la existencia de un troyano diseñado para atacar y controlar remotamente a los equipos con OS X como sistema operativo principal. El troyano, conocido como OSX/Leverage.A -por la foto que captura a dos personas besándose en la serie de televisión-, es un backdoor que se instala de manera permanente en el equipo del usuario afectado. ¿Cómo funciona?

No es muy claro cómo llega el virus al ordenador de una persona, aunque puede ser a través de un correo o de un fallo de seguridad en un portal visitado anteriormente. También se ha especulado que el ataque estaría dirigido a blancos fijos para sustraer información determinada. Cuando se abre la imagen en Vista Previa, el backdoor se instala de forma automática. Adicionalmente, el malware incluye dos modificaciones en su código que impiden su visualización como una aplicación en proceso de ejecución. 

El troyano se camufla como una aplicación de nombre UserEvent.app y se inserta en el directorio de carpetas compartidas de usuario. Posteriormente, ejecuta un agente de instalación conocido como UserEvent.plist en el directorio de LaunchAgents. Como ambos directorios no requieren de autenticación de acceso para que un usuario ingrese, no hay forma que el programa solicite contraseñas y por consiguiente, que la persona afectada sepa lo que está sucediendo en su máquina.

Una vez que el troyano ha sido instalado de forma exitosa en el ordenador de la víctima, el mismo procederá a llevar a cabo algunas de las actividades más comunes de un backdoor como acceder a información personal del usuario y enviarla al servidor de control utilizado por los hackers, enviar pings para hacerle un seguimiento a la conexión entre los equipos y, como detalle menos común, descargar la imagen que identifica al Ejercito Electrónico Sirio, un grupo de hackers leal al gobierno de ese país y que ya ha sido responsable de otros ataques, entre otros a la Casa Blanca y la agencia de noticias Tomson Reuters

En esta ocasión, el grupo sirio negó ser responsable por la creación y distribución del malware. De acuerdo con Mashable, es posible que los hackers si estén detrás del ataque y lo hayan hecho con fines propagandísticos así como existe la posibilidad que el grupo no sea realmente responsable y quien lo haya hecho en realidad quiera utilizar su nombre para cubrir su rastro. Otra hipótesis es que un grupo iraní con ideales similares a los del Ejercito Electrónico Sirio sea responsable por el virus. 

Apple, al igual que con la actualización al software para el Apple TV, ha tomado cartas en el asunto y ha bloqueado su ejecución con una actualización al sistema de protección XProtect. Adicionalmente, la compañía norteamericana ha actualizado su escáner de malware para que detecte este virus específicamente y lo ponga en cuarentena. 

Por ahora, se sabe que el malware ha afectado a algunos usuarios pero no representa un riesgo a gran escala. Los servidores que controlan el virus de forma remota parecen estar inactivos y el virus era efectivo únicamente con versiones anteriores a OS X 10.8 del sistema operativo. Pero no por ello hay que bajar la guardia. 

Fuentes adicionales: CNET, Intego