El nuevo malware de OS X recién descubierto sugiere el regreso del Hacking Team

Hacking Team puede estar haciendo un regreso con el nuevo malware de Mac OS X

Una nueva muestra de malware de OS X recientemente descubierta sugiere que puede provenir del Hacking Team, la controvertida empresa italiana que vende software de vigilancia a gobiernos. El vendedor de exploits está regresando al mercado después de un ciberataque desastroso, en el que sus datos fueron filtrados a manos públicas, incluyendo el código fuente de todo su software.

Según los investigadores de seguridad, el nuevo malware de OS X encontrado en la naturaleza es probablemente una nueva versión del antiguo malware de Mac del Hacking Team. La muestra, según ellos, está compuesta en su mayoría por el mismo código que el antiguo malware del Hacking Team para Mac OS X, pero tiene nuevos componentes que ayudan a que permanezca indetectable.

Los investigadores también señalan que el malware instala una copia de la plataforma de compromiso Remote Code Systems (RCS) de la empresa de software, lo que les lleva a creer que la infame y controvertida firma italiana ha vuelto.

El malware en cuestión instala diferentes programas en una computadora. Esta vez, el malware es un “dropper”, que se utiliza para plantar otro software en una computadora y parece instalar el RCS del Hacking Team. “El dropper está utilizando más o menos las mismas técnicas que las muestras anteriores de RCS del Hacking Team, y su código es más o menos el mismo”, escribió el investigador de seguridad Pedro Vilaca.

El Hacking Team sufrió una violación masiva en su red el pasado julio, donde casi 400GB de datos, incluyendo información sensible como la relación de la empresa con gobiernos, correos electrónicos, código fuente y exploits, fueron publicados en línea. El grupo ha estado misteriosamente callado desde entonces. “O esta es una muestra antigua o el Hacking Team todavía está utilizando la misma base de código que antes del hackeo”, escribió Vilaca. El grupo también ha sido acusado en el pasado por grupos de privacidad y derechos humanos de vender su software a gobiernos con malos antecedentes en derechos humanos.

A principios de este mes, se subió una nueva muestra de troyano basada en OS X llamada “Morcut” a VirusTotal, propiedad de Google, y en ese momento, ningún programa antivirus popular pudo detectarlo. Hasta ahora, 15 programas antivirus, incluyendo AVG, Eset-Nod 32, F-Secure, BitDefender y TrendMicro, pudieron detectarlo.

Patrick Wardle de la firma de seguridad Synack cree que el instalador fue actualizado por última vez en octubre o noviembre del año pasado. Agregó que la muestra de malware utiliza la mayor parte del mismo código que el antiguo malware del Hacking Team.

“Acabo de encontrar algo de código único en este dropper. Este código verifica versiones más nuevas de OS X y no existe en el código fuente filtrado”, escribió Vilaca. “O alguien está manteniendo y actualizando el código del Hacking Team (¿por qué demonios alguien haría eso!?!?!) o esta es de hecho una muestra legítima compilada por el propio Hacking Team. La reutilización y el reaprovechamiento del código fuente de malware ocurre (Zeus, por ejemplo), pero mi instinto y los indicadores parecen no apuntar en esa dirección.”

No está claro cómo se instala este malware en un sistema. Sin embargo, Wardle ha descubierto una manera de verificar si tu Mac está infectada con él.

Aquí te mostramos cómo puedes verificar si estás afectado:

• Para verificar si estás infectado, busca Bs-V7qIU.cYL o _9g4cBUb.psr que se coloca en el directorio ~/Library/Preferences/8pHbqThW/.
• Si encuentras alguno de estos códigos, elimina todo ese directorio y quita el archivo ~/Library/LaunchAgents/com.apple.FinderExtAvt.plist.