Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Nuevo spyware para Mac en Oslo Freedom Forum
El nuevo spyware encontrado en los sistemas de los miembros del Oslo Freedom Forum posee un identificador de desarrollador válido (Apple Developer ID).
F-secure informa sobre un nuevo malware para OS X, el cual parece ser una aplicación de puerta trasera, que hasta el momento se sabe que toma capturas de pantalla de las computadoras de los usuarios y luego intenta subirlas a servidores remotos. El malware es llamado OSX/KitM.A.
Se trata de una pequeña aplicación llamada macs.app y se encontró en el equipo Mac de un activista africano que fue miembro del Oslo Freedom Forum. Una vez instalada, la aplicación se agrega a los elementos de inicio del usuario Mac en turno, para ejecutarse cada vez que la cuenta del usuario afectado se autentica. Posteriormente, toma capturas de pantalla de forma regular, que se colocan en una carpeta visible en el directorio de inicio del usuario llamado MacApp. A continuación, intenta subirlas a las URL "securitytable.org" y "docsforum.info", las cuales no están operando o están emitiendo los mensajes de error como "acceso público prohibido".
Algo que resulta único en esta pieza de malware, es el hecho de que parece ser un Apple Developer ID válido, asociado con el nombre Rajender Kumar. Aunque no es un nombre común, podría tratarse de una referencia a un actor de Bollywood con el mismo nombre. En cualquier caso, el uso del ID parece ser un intento de eludir la tecnología de prevención de ejecución, Gatekeeper, de Apple.
Por ahora, hacerse cargo de este malware involucra simplemente revisar los elementos de inicio (que consiste en seleccionar el nombre de usuario en las opciones de configuración del sistema Usuarios y Grupos y dar clic en la pestaña de elementos de inicio de sesión) y eliminar el programa macs.app para evitar que sea lanzado al iniciar sesión. También se recomienda ubicar y eliminar el archivo macs.app de la computadora; éste podría estar en la carpeta de Descargas, en el directorio de inicio o en la carpeta de Aplicaciones en la raíz de la unidad.
Actualmente, F-secure investiga el malware para determinar su origen, modos de instalación y la manera en la que se ejecuta.
