Nuevo troyano para Mac OS X enmascarado en un PDF


Ha aparecido un nuevo troyano para Mac OS X enmascarado en un archivo PDF. El troyano se conecta a un servidor externo pera descargar un software que abre una puerta trasera en el ordenador. El supuesto PDF de ehcho muestra texto para engañar a los usuarios que lo abren y que no reciben ninguna notificación real de lo que está ocurriendo. El actual troyano muestra texto en chino, pero puede cualquier tipo de PDF. Dentro te contamos como identificarlo con relativa facilidad.





Cuando un usuario abre el archivo, el ejecutable entra en acción extrayendo un tercer ejecutable que descarga un software de puerta trasera de un servidor remoto. El primer ejecutable solo funciona en Macs con Intel y el software de puerta trasera no funciona en sistemas de archivos que diferencian mayúsculas y minúsculas (que no es el caso habitual ni por defecto en la instalación de Mac OS X). El software e puerta trasera es capaz de sacar pantallazos y los envía a un servidor además de realizar otras acciones.

El troyano no está ampliamente distribuido en internet y posiblemente se trata de una prueba de concepto. Su diseño es bastante pobre y aunque puede llegar a funcionar, no se conecta a un servidor activo. VirusBarrier X6 de Intego detecta este troyano y lo identifica como OSX/Revir.A y el software de puerta trasera, como OSX/Imuler.A. La amenaza puede considerarse como muy baja.

¿Un PDF ejecutable?

Realmente, y sin tener una muestra del Troyano, es bastante factible que este Troyano se aproveche de la posibilidad de crear una App-in-PDF.

La documentación de Aperture es un ejemplo de este tipo de PDF. A pesar de que su icono pone claramente que es un PDF, la realidad es muy distinta: es una aplicación con su correspondiente extensión .app. Realmente lo que ha hecho Apple es meter esta documentación en "una caja" que impide que pueda leerse en ordenadores que no están soportados (por ejemplo, un PPC y de ahí que el troyano no funcione en un procesador de este tipo) además de centralizar todos los documentos de ayuda de diferentes idiomas en una misma aplicación, pero esto es fácilmente solucionable.

Selecciona cualquiera de los archivos de ayuda y con el botón contextual elige Mostrar contenido del paquete y navega a Resources/English.lproj/ y en esa ubicación tienes el PDF real que puedes copiar a tu escritorio para poder inspeccionar sin las restricciones de Apple. Adicionalmente, en la carpeta Resources están las versiones en francés, alemán y japonés.

En el caso de un PDF sospechoso como Troyano, el proceso de detección debería ser el mismo: si es factible mostrar el contenido del paquete (y el PDF viene de una fuente poco segura o no confiable) es bastante probable que nos encontremos ante una versión de este troyano.

Fuente:
http://www.faq-mac.com/



Otras noticias de interés:

Múltiples vulnerabilidades en analizadores de protocolo de Ethereal
Se han descubierto múltiples vulnerabilidades en el monitor de actividad de red Ethereal, que pueden ser explotadas por usuarios maliciosos para provocar una denegación de servicio o incluso comprometer un sistema....
¿Está JDBGMGR.EXE en su computadora?. ¡NO LO BORRE!
Ha estado circulando desde hace unos días, la siguiente falsa alarma, sobre un supuesto virus que se transmite a través del Messenger. El texto hace referencia a un archivo determinado de Windows, QUE SE PIDE SEA BORRADO SI ESTA EN SU COMPUTADORA. ...
Cambio de fecha I Jornada AWVEN en FACE-UC
FaCE-UC emite aviso urgente de cambio de fecha de la I Jornada de Formación para el uso de Herramientas de Software Libre Aplicadas a las TIC y a la Educación....
El nuevo gestor de addons de Mozilla
Mozilla siempre ha hecho del soporte para extensiones su caballito de batalla, pero el gestor que ofrecía el navegador del zorrito se estaba quedando un poco, con su pequeña ventanita. Ahora han estrenado un nuevo gestor de addons que nos ofrece un...
Día de Plone en Venezuela 2013
Plone es un sistema de gestión de contenidos que puede utilizarse para construir cualquier tipo de sitio web como portales, sitios webs corporativos, sitios web externos o internos, sitios de publicación de noticias, incluyendo blogs, tiendas en l...
Crece el número de países que censura Internet
Un artículo presentado en rtve.es por Azucena Rubiato expone que China e Irán son los países con más represión de internautas y solo Finlandia, Suecia, Suiza, Islandia y Noruega respetan la neutralidad en la Red....
Gmail deja ver la lista de contactos a un usuario local
Se puede leer en googlemania el siguiente artículo: Esta mañana leyendo mi correo he recibido un mensaje de Lostmon en el que me comentaba que había podido acceder a su lista de contactos de GMail directamente e...
Los trolls de patentes desembarcan en Europa
Los denominados - patentes trolls -, últimamente de gran atención mediática, son empresas que utilizan una estrategia agresiva para - defender - legalmente sus derechos de patente. Estos abanderados del picapleitismo se han ganado rápidamente la ...
Recomendaciones para redactar mensajes
Esta sugerencia fue enviada por y para una de las lista de correo a la cual estoy suscrito (WEB-AR) del grupos Yahoo. Y quisiera compartirla con todos ustedes, para que de esta forma mejoremos la forma de enviar un email a una lista de correos....
Nuevas versiones de Bugzilla
Las versiones de Bugzilla previas a la 2.14.4 o 2.16.1 contienen varias vulnerabilidades de seguridad. Bugzilla es un sistema de base de datos para comunicar bugs y asignarlos a desarrolladores, obteniendo una gran simplificación administrativa resp...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • enmascarado
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • mac
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuevo
  • opensource
  • pdf
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyano
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra