Nuevo troyano para Mac OS X enmascarado en un PDF


Ha aparecido un nuevo troyano para Mac OS X enmascarado en un archivo PDF. El troyano se conecta a un servidor externo pera descargar un software que abre una puerta trasera en el ordenador. El supuesto PDF de ehcho muestra texto para engañar a los usuarios que lo abren y que no reciben ninguna notificación real de lo que está ocurriendo. El actual troyano muestra texto en chino, pero puede cualquier tipo de PDF. Dentro te contamos como identificarlo con relativa facilidad.





Cuando un usuario abre el archivo, el ejecutable entra en acción extrayendo un tercer ejecutable que descarga un software de puerta trasera de un servidor remoto. El primer ejecutable solo funciona en Macs con Intel y el software de puerta trasera no funciona en sistemas de archivos que diferencian mayúsculas y minúsculas (que no es el caso habitual ni por defecto en la instalación de Mac OS X). El software e puerta trasera es capaz de sacar pantallazos y los envía a un servidor además de realizar otras acciones.

El troyano no está ampliamente distribuido en internet y posiblemente se trata de una prueba de concepto. Su diseño es bastante pobre y aunque puede llegar a funcionar, no se conecta a un servidor activo. VirusBarrier X6 de Intego detecta este troyano y lo identifica como OSX/Revir.A y el software de puerta trasera, como OSX/Imuler.A. La amenaza puede considerarse como muy baja.

¿Un PDF ejecutable?

Realmente, y sin tener una muestra del Troyano, es bastante factible que este Troyano se aproveche de la posibilidad de crear una App-in-PDF.

La documentación de Aperture es un ejemplo de este tipo de PDF. A pesar de que su icono pone claramente que es un PDF, la realidad es muy distinta: es una aplicación con su correspondiente extensión .app. Realmente lo que ha hecho Apple es meter esta documentación en "una caja" que impide que pueda leerse en ordenadores que no están soportados (por ejemplo, un PPC y de ahí que el troyano no funcione en un procesador de este tipo) además de centralizar todos los documentos de ayuda de diferentes idiomas en una misma aplicación, pero esto es fácilmente solucionable.

Selecciona cualquiera de los archivos de ayuda y con el botón contextual elige Mostrar contenido del paquete y navega a Resources/English.lproj/ y en esa ubicación tienes el PDF real que puedes copiar a tu escritorio para poder inspeccionar sin las restricciones de Apple. Adicionalmente, en la carpeta Resources están las versiones en francés, alemán y japonés.

En el caso de un PDF sospechoso como Troyano, el proceso de detección debería ser el mismo: si es factible mostrar el contenido del paquete (y el PDF viene de una fuente poco segura o no confiable) es bastante probable que nos encontremos ante una versión de este troyano.

Fuente:
http://www.faq-mac.com/



Otras noticias de interés:

Descubierto problema en el tratamiento de certificados digitales en IE
El pasado 5 de agosto se publicó en la lista de correo BugTraq un mensaje acerca el descubrimiento de un problema en la forma en que Internet Explorer trata los certificados digitales utilizados en las comunicaciones SSL (Secure Socket Layer). Esta...
Actualización para el navegador Google Chrome
Google ha publicado una actualización de su navegador Chrome para Linux, Mac y Windows. Esta nueva versión está destinada a corregir cinco vulnerabilidades. Según la propia clasificación de Google tres son de gravedad alta, una media y una últi...
El peligro de los acortadores de enlaces
Vía genbeta.com, informan de los peligros asociados a los tan usados actualmente acortadores de enlaces. Estos son bastante útiles a la hora de compartir la dirección de alguna web que es demasiado larga. Gracias a los servicios de microblogging c...
La seguridad de la información sortea la crisis
Las organizaciones siguen invirtiendo en seguridad al mismo ritmo que antes e incluso con más fuerza....
Tecnología y democracia
Para que la imprenta pudiera nacer, la humanidad tuvo que aprender las tecnologías de la madera, del papel, de la tinta y del metal. Se necesitaba saber fabricar planchas de madera para apretar el papel sobre una superficie metálica tintada al acei...
Windows es inseguro a propósito, adrede, e intencionadamente.
Es cierto que esta es una información antigua (septiembre de 1999), pero es justamente tan antigua que para muchos se trata de una completa novedad....
Adobe Reader X ya está disponible
Ya es posible descargar Adobe Reader X, uno de los componentes de Acrobat X Suite, compuesta a su vez por otros tres productos más: Adobe Acrobat Suite, Acrobat Pro y Acrobat Standard....
Subes algo en la nube, y ya no es tuyo.
Oh, la nube. Para muchos de nosotros, es la solución ideal para nuestros dispositivos. El concepto de almacenamiento físico va perdiendo fuerza poco a poco, siendo sustituido por el guardado etéreo de nuestros archivos; allá, lejos, en algún lug...
La red que sea neutral?… y no me refiero a Suiza
La neutralidad de la red es un tema que para ser sincero no había tocado nunca, y quizás no lo había hecho por lo complejo del mismo....
Facebook dio marcha atrás y devuelve la propiedad de los contenidos a usuarios
El CEO de la red social, Mark Zuckerberg, confirmó oficialmente: Hemos decidido volver a la condiciones de uso anteriores. Ayer se había revelado que todo el material subido iba a ser propiedad perpetua de la página. Hubo rechazos masivos y se rec...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • enmascarado
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • mac
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuevo
  • opensource
  • pdf
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyano
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra