Encuentran un spyware para macOS que lleva funcionando desde 2014

Encuentran un spyware para macOS que lleva funcionando desde 2014

Rubén Velasco

Windows es el sistema operativo más utilizado en todo el mundo y, por ello, es el principal objetivo de los piratas informáticos. La mayoría del software malicioso se crea para este sistema, sin embargo, eso no quiere decir que el resto de sistemas operativos, como macOS o Linux, sean invulnerables y estén libres de malware, sino todo lo contrario. Y una prueba de ello es un nuevo software malicioso que ha sido detectado por la empresa de seguridad Malwarebytes.

Este nuevo software espía ha sido detectado gracias a que un administrador de redes de una empresa pudo ver cómo se registraba algo de tráfico saliente de uno de los Mac de su red local. Al detectar ese extraño tráfico, se puso en contacto con los expertos de seguridad de Malwarebytes, quienes han dado con este nuevo malware. A pesar de ser un malware muy simple, hasta ahora nunca se había visto nada tan complejo como él. Este se basa, principalmente, de dos ficheros, un script, muy complejo, además, escrito en PERL y ofuscado para complicar la comprensión de su funcionamiento, y un fichero xml de configuración.

El script puede ser considerado el malware como tal. Este se basa principalmente en establecer la conexión con el servidor C&C, tanto a través de una IP directa como de un servidor DNS basado en No-IP, y cuenta con varias funciones adicionales como la posibilidad de tomar capturas de pantalla y registrar el tiempo que el sistema lleva en funcionamiento.

Además, este software espía hace un llamamiento a un fichero binario Java que lanza una serie de funciones bastante más complejas, por ejemplo, para poder acceder a la cámara del ordenador (en caso de que la tenga). Analizando este nuevo binario, los expertos de seguridad han encontrado llamadas obsoletas a funciones que, desde años, están inoperativas en el sistema. Además, el binario incluye de base el código de libjpeg, librería desactualizada desde 1998, por lo que se cree que este software espía puede haber empezado a funcionar desde mucho antes que 2014, aunque no hay nada que pueda confirmar su edad más que un comentario en el código referente a Mac OS X 10.10 Yosemite, la actualización de 2014 del sistema operativo de Apple.

Apple ha lanzado un parche de seguridad, que se instalará en segundo plano en todos sus ordenadores, con el que evitará que este software malicioso siga haciendo de las suyas. Además, los expertos de seguridad de Malwarebytes lo han registrado con el nombre OSX.Backdoor.Quimitchin en honor a los espías aztecas que se infiltraban en otras tribus rivales. Siempre puedes optar por otros DNS.

Un software espía que también afecta a Linux

Aunque este software espía está enfocado principalmente a sistemas macOS, también es capaz de ejecutarse sin problemas en sistemas Linux, ya que cuenta con varias funciones propias de este sistema operativo (como Xwd para las capturas de pantalla o la llamada al comando cat/proc/uptime para ver el tiempo de actividad), así como el binario Java que también se ejecuta en Linux sin problemas de dependencias.

Sin embargo, por el momento no se ha detectado actividad en sistemas Linux, por lo que probablemente, o fue utilizado en el pasado, o está preparado para ser utilizado, pero no se ha enviado aún a ningún objetivo con este sistema.

Cómo protegernos del spyware Quimitchin

Para protegerse de este software espía, basta con bloquear en el ordenador la siguiente IP y el siguiente dominio utilizados por el malware.

99.153.29.240

eidk.hopto.org

Analizando el comportamiento del malware, los expertos de seguridad se han dado cuenta de que es muy sencillo detectar su presencia, sin embargo, ha pasado desapercibido, como mínimo, durante 3 años. Se cree que esto puede ser posible debido a que los piratas informáticos que lo han creado, probablemente chinos o rusos, lo han utilizado solo en ataques muy concretos contra objetivos específicos, por lo que, al no deambular libremente por la red, nadie se ha dado cuenta de él, hasta este momento.

¿Crees que los piratas informáticos empezarán a atacar macOS y Linux igual que hacen con Windows o estos sistemas seguirán siendo más seguros que el sistema de Microsoft?