La semana pasada, la empresa rusa de antivirus Doctor Web divulgado una pieza de malware OS X recién descubierta conocida como Mac.BackDoor.iWorm que en ese momento había afectado aproximadamente a 17.000 máquinas en todo el mundo. Si bien el mecanismo exacto de infección no estaba claro, un giro interesante en la historia involucra a máquinas comprometidas que ejecutan consultas de búsqueda en Reddit para obtener instrucciones sobre qué servidores de comando y control deben usarse para administrar la botnet.
Vale la pena mencionar que para adquirir una lista de direcciones del servidor de control, el bot usa el servicio de búsqueda en reddit.com y, como consulta de búsqueda, especifica valores hexadecimales de los primeros 8 bytes del hash MD5 del actual. fecha. La búsqueda de reddit.com devuelve una página web que contiene una lista de servidores y puertos de C&C de botnet publicados por delincuentes en comentarios a la publicación minecraftserverlists bajo la cuenta vtnhiaovyd.
Una vez conectado a un servidor de comando y control, la puerta trasera abierta por el malware en el sistema del usuario puede recibir instrucciones para realizar una variedad de tareas, desde robar información confidencial hasta recibir o propagar malware adicional.
En un esfuerzo por abordar la amenaza, Apple ahora ha actualizado su sistema anti-malware 'Xprotect' para reconocer dos variantes diferentes del malware iWorm y evitar que se instalen en las máquinas de los usuarios.
Presentado por primera vez con OS X Snow Leopard, Xprotect es un sistema anti-malware rudimentario que reconoce y alerta a los usuarios sobre la presencia de varios tipos de malware. Dada la relativa rareza del malware dirigido a OS X, las definiciones de malware se actualizan con poca frecuencia, aunque las máquinas de los usuarios buscan actualizaciones automáticamente a diario. Apple también usa el sistema Xprotect en ocasiones para hacer cumplir los requisitos mínimos de versión para complementos como Flash Player y Java, lo que obliga a los usuarios a actualizar desde versiones anteriores que se sabe que conllevan importantes riesgos de seguridad.
Entradas Populares