Hace aproximadamente un mes, compañías de seguridad descubrieron un troyano para Mac capaz de abrir puertas traseras en los sistemas infectados y espiar al usuario al monitorear coordenadas del ratón, mensajería instantánea, cámara web y micrófono, portapapeles, teclas oprimidas, alertas de calendarios, direcciones, URLs visitadas y mucho más.

El malware, denominado Crisis o Morcut, no fue visto en activo, pero fue recibido por el investigador de seguridad de VirusTotal en forma de un archivo JAR, cuyo análisis reveló que contenía un archivo .class llamado WebEnhancer y dos instaladores, uno para Windows y otro para OS X.

Los investigadores de Symantec continuaron analizando el archivo y recientemente han descubierto que la versión para la Windows utiliza tres métodos para propagarse: hacia una unidad de disco extraíble, hacia una máquina virtual de VMware y en dispositivos con Windows Mobile.

A diferencia de otros tipos de malware, que se destruyen a sí mismos cuando detecta una imagen de máquina virtual VMware en la computadora afectada para evitar ser analizado, éste se monta en la imagen virtual y luego se copia mediante el uso de una herramienta de VMware Player.

Además, la amenaza es capaz de propagarse a los dispositivos de Windows Mobile dejando caer los módulos en los dispositivos conectados a las computadoras comprometidas con Windows, pero no afecta a los dispositivos Android o iPhone.