El nuevo software malicioso que ha sido detectado por la empresa de seguridad Malwarebytes.
Este nuevo software espía ha sido detectado gracias a que
un administrador de redes de una empresa pudo ver cómo se registraba algo de
tráfico saliente de uno de los Mac de su red local. Al detectar ese extraño
tráfico, se puso en contacto con los expertos de seguridad de Malwarebytes,
quienes han dado con este nuevo malware. A pesar de ser un malware muy simple,
hasta ahora nunca se había visto nada tan complejo como él. Este se basa,
principalmente, de dos ficheros, un script, muy complejo, además, escrito en
PERL y ofuscado para complicar la comprensión de su funcionamiento, y un
fichero xml de configuración.
El script puede ser considerado el malware como tal. Este se basa principalmente en establecer la conexión con el servidor C&C, tanto a través de una IP directa como de un servidor DNS basado en No-IP, y cuenta con varias funciones adicionales como la posibilidad de tomar capturas de pantalla y registrar el tiempo que el sistema lleva en funcionamiento.
Además, este software espía hace un llamamiento a un
fichero binario Java que lanza una serie de funciones bastante más complejas,
por ejemplo, para poder acceder a la cámara del ordenador (en caso de que la
tenga). Analizando este nuevo binario, los expertos de seguridad han encontrado
llamadas obsoletas a funciones que, desde años, están inoperativas en el
sistema. Además, el binario incluye de base el código de libjpeg, librería
desactualizada desde 1998, por lo que se cree que este software espía puede
haber empezado a funcionar desde mucho antes que 2014, aunque no hay nada que
pueda confirmar su edad más que un comentario en el código referente a Mac OS X
10.10 Yosemite, la actualización de 2014 del sistema operativo de Apple.
Apple ha lanzado un parche de seguridad, que se instalará en segundo plano en todos sus ordenadores, con el que evitará que este software malicioso siga haciendo de las suyas. Además, los expertos de seguridad de Malwarebytes lo han registrado con el nombre OSX.Backdoor.Quimitchin en honor a los espías aztecas que se infiltraban en otras tribus rivales.
