El troyano Mac se hace pasar por PDF para abrir la puerta trasera de la botnet

Troyano Mac se hace pasar por PDF para abrir puerta trasera botnet

El troyano Mac se hace pasar por PDF para abrir la puerta trasera de la botnet 1


Hay otro troyano Mac OS X en la naturaleza, y puede que se dirija hacia usted. Si abre el archivo, que podría aparecer como un archivo adjunto enviado por correo electrónico o como un enlace web, el documento, escrito en ideogramas tradicionales chinos, de hecho se muestra . Pero un troyano se instala silenciosamente en segundo plano mientras intentas resolver reclamos territoriales centenarios. El troyano realmente no hace nada todavía. Pero F-Secure, la firma de seguridad finlandesa que lo descubrió, señala que sienta las bases para ataques mucho más sofisticados contra Macs.

El malware en cuestión ha sido identificado como Trojan-Dropper: OSX / Revir.A, que instala una puerta trasera, Backdoor: OSX / Imuler.A, en la Mac del usuario. Actualmente, sin embargo, la puerta trasera no se comunica con nada. El centro de comando y control para este malware en particular es aparentemente una instalación de Apache simple, que ha estado en su dominio actual desde mayo de este año. Debido a esto, los usuarios que podrían ser víctimas de este ataque probablemente no verán muchos efectos negativos por el momento, pero eso podría cambiar si los archivos terminan extendiéndose a un público más amplio.

Hash MD5 para las muestras:

• Trojan-Dropper: OSX / Revir.A: fe4aefe0a416192a1a6916f8fc1ce484
• Trojan-Downloader: OSX / Revir.A: dfda0ddd62ac6089c6a35ed144ab528e
• Puerta trasera: OSX / Imuler.A: 22b1af87dc75a69804bcfe3f230d8c9d

Por lo general, las puertas traseras se emplean para comunicarse con un servidor remoto de comando y control (C&C), que es capaz de instruir a la carga útil para desviar los datos de la computadora infectada a los atacantes. Sin embargo, F-Secure descubrió que el servidor C&C es una instalación de Apache simple, que aún no es capaz de comunicarse con la puerta trasera.