Nuevo troyano para Mac OS X enmascarado en un PDF


Ha aparecido un nuevo troyano para Mac OS X enmascarado en un archivo PDF. El troyano se conecta a un servidor externo pera descargar un software que abre una puerta trasera en el ordenador. El supuesto PDF de ehcho muestra texto para engañar a los usuarios que lo abren y que no reciben ninguna notificación real de lo que está ocurriendo. El actual troyano muestra texto en chino, pero puede cualquier tipo de PDF. Dentro te contamos como identificarlo con relativa facilidad.





Cuando un usuario abre el archivo, el ejecutable entra en acción extrayendo un tercer ejecutable que descarga un software de puerta trasera de un servidor remoto. El primer ejecutable solo funciona en Macs con Intel y el software de puerta trasera no funciona en sistemas de archivos que diferencian mayúsculas y minúsculas (que no es el caso habitual ni por defecto en la instalación de Mac OS X). El software e puerta trasera es capaz de sacar pantallazos y los envía a un servidor además de realizar otras acciones.

El troyano no está ampliamente distribuido en internet y posiblemente se trata de una prueba de concepto. Su diseño es bastante pobre y aunque puede llegar a funcionar, no se conecta a un servidor activo. VirusBarrier X6 de Intego detecta este troyano y lo identifica como OSX/Revir.A y el software de puerta trasera, como OSX/Imuler.A. La amenaza puede considerarse como muy baja.

¿Un PDF ejecutable?

Realmente, y sin tener una muestra del Troyano, es bastante factible que este Troyano se aproveche de la posibilidad de crear una App-in-PDF.

La documentación de Aperture es un ejemplo de este tipo de PDF. A pesar de que su icono pone claramente que es un PDF, la realidad es muy distinta: es una aplicación con su correspondiente extensión .app. Realmente lo que ha hecho Apple es meter esta documentación en "una caja" que impide que pueda leerse en ordenadores que no están soportados (por ejemplo, un PPC y de ahí que el troyano no funcione en un procesador de este tipo) además de centralizar todos los documentos de ayuda de diferentes idiomas en una misma aplicación, pero esto es fácilmente solucionable.

Selecciona cualquiera de los archivos de ayuda y con el botón contextual elige Mostrar contenido del paquete y navega a Resources/English.lproj/ y en esa ubicación tienes el PDF real que puedes copiar a tu escritorio para poder inspeccionar sin las restricciones de Apple. Adicionalmente, en la carpeta Resources están las versiones en francés, alemán y japonés.

En el caso de un PDF sospechoso como Troyano, el proceso de detección debería ser el mismo: si es factible mostrar el contenido del paquete (y el PDF viene de una fuente poco segura o no confiable) es bastante probable que nos encontremos ante una versión de este troyano.

Fuente:
http://www.faq-mac.com/



Otras noticias de interés:

Conversión batch a PDF desde OpenOffice.org
Es posible que en ocasiones se te plantee este problema: debes convertir a formato PDF los 80 documentos que tienes en cierto directorio....
Apple explica la seguridad de iOS
Apple ha publicado un documento explicando con cierto detalle la seguridad de su sistema operativo iOS. Teniendo en cuenta la habitual actitud cerrada de Apple en estos aspectos, este es un paso interesante. Eso sí, se ha cuidado de hablar del siste...
Sistema de codificación #HDCP crackeado!
Cuando ves cualquier película en su tv o conecta la consola al monitor de turno, toda señal que se transmite entre uno y otro equipo están codificadas....
Linux y Android de la mano
Linux esta más cerca de Android que nunca. El pasado domingo Linus Torvalds, el creador de Linux, publicó la versión 3.3 del kernel de su sistema operativo. Lo más importante es que incluía la fusión del código de Android en el kernel. Algo qu...
Internet molesta a los Gobiernos
Desde hace algún tiempo diferentes gobiernos del mundo ha ido buscando como controlar el acceso de sus ciudadanos a la Internet. Otros pocos han ido más allá (China, Iran y Cuba por ejemplo) y han filtrado, restringido y/o prohibido el acceso a di...
Los motores de búsqueda como medio de difusión de contenidos fraudulentos
Los motores de búsqueda son herramientas muy poderosas, y que usamos con frecuencia no sólo para asuntos profesionales, sino para asuntos personales de toda índole. ...
Mejoras de seguridad en el primer Service Pack de Windows Server 2003
eWeek ha informado -en http://www.eweek.com/article2/0,1759,1611288,00.asp - de que Microsoft está trabajando en un conjunto de mejoras de seguridad p...
Opera 11.01 disponible
El navegador Opera 11.01 ha llegado, corrigiendo algunos errores que se habían presentado la última beta y mejorando el desempeño general de la aplicación. Con esta versión Opera se convierte en uno de los primeros navegadores grandes que alcanz...
Flisol 2011 Valencia - Carabobo
El Festival Latinoamericano de Software Libre es el evento de difusión de Software Libre más grande en Latinoamérica. Se realiza desde el año 2005 y desde el 2008 se adoptó su realización el 4to Sábado de abril de cada año....
Publicada Cotejo N° 7 de VaSlibre
Disponible para su lectura y descarga el número 7 de la revista digital Cotejo de VaSlibre....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • enmascarado
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • mac
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuevo
  • opensource
  • pdf
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyano
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra