Malware de Windows adaptado para sistemas Mac OS X detectado en la naturaleza

Los investigadores están analizando un nuevo código de un programa de puerta trasera de cinco años de antigüedad utilizado en Windows que han encontrado integrado en un programa de spyware diseñado para comprometer sistemas Mac OS X. Apodado XSLCmd por los investigadores, este malware de OS X fue verificado el 10 de agosto por VirusTotal. Otros antivirus aún no han tenido éxito en detectarlo, confirmando que los autores están utilizando un código mucho más complejo para ello.

La firma de investigación de seguridad líder, FireEye, dijo en su publicación de blog sobre este malware, que el código del malware es compatible con arquitecturas de CPU PowerPC y 64/86 bits; además de la rutina de instalación, también hay una puerta trasera presente que se ejecuta tan pronto como el proceso principal está en funcionamiento.

“El código de la puerta trasera fue portado a OS X desde una puerta trasera de Windows que ha sido utilizada extensamente en ataques dirigidos durante los últimos años, habiendo sido actualizado muchas veces en el proceso”

Las capacidades presentes en la puerta trasera incluyen abrir un shell inverso junto con acciones para ver archivos y transferirlos a una ubicación remota, o ejecutar rutinas de autoactualización e instalar otros archivos ejecutables. FireEye dice que en comparación con la versión de Windows, la de OS X presenta una funcionalidad aumentada que permite el monitoreo de la víctima a través del registro de pulsaciones de teclas y la pantalla de la computadora. Esto, sumado al hecho de que ha permanecido indetectado hasta ahora, señala hacia un autor de malware muy experimentado.

Los investigadores creen que la puerta trasera XSLCmd se emplea en actividades de ciberespionaje. Los investigadores han identificado a los cibercriminales como GREF. Este equipo se especializa en ciberespionaje y ha estado activo desde 2009. Fue uno de los grupos que hackeó la Base Industrial de Defensa de EE. UU., así como empresas de electrónica e ingeniería en todo el mundo entre 2011 y la fecha. Aunque no se sabe si este grupo está compuesto por actores estatales de algún país.

Con la creciente popularidad de las computadoras y laptops de Apple, esto se convierte en un nuevo dolor de cabeza para la empresa matriz. Hasta ahora, los malwares para máquinas Mac eran escasos y poco frecuentes. Portar malware de Windows a otros sistemas operativos no es una práctica ni compleja ni nueva. Tomando la forma de un archivo ejecutable Mach-O, la puerta trasera se copia a “$HOME/Library/LaunchAgents/clipboardd” y crea un archivo en la carpeta que asegura que la amenaza se inicie al reiniciar la computadora, tan pronto como la víctima inicie sesión.

Durante el proceso de instalación, el malware verifica la versión del sistema operativo y parece que las versiones superiores a 10.8 (Mountain Lion) no se tienen en cuenta. Esto podría indicar que los autores o bien apuntaron a víctimas que ejecutan esta edición de OS X o que la pieza fue creada específicamente para Mountain Lion.

FireEye cree que los cibercriminales / pandilla cibernética detrás de esta amenaza no solo son “avanzados” sino también “adaptativos”, considerando el hecho de que han logrado lograr la compatibilidad de su conjunto de herramientas con los nuevos sistemas operativos adoptados por sus víctimas, y obtener persistencia en las máquinas infectadas.

Puedes leer el artículo completo sobre XSLCMD aquí