Considero esta entrada tan importante que voy a irla escribiendo poco a poco. Retiraré este primer párrafo cuando esté terminada, aunque lo básico ya está disponible. Refrescad la página para comprobar si hay novedades.
Hace unos minutos en la LSPM he visto un mensaje de Luis Barreiro acerca de un troyano para Mac OS X de alto riesgo y de gran difusión. En ese mensaje se hacía referencia a una entrada titulada Crimeware comes to Mac OS X en la bitácora McAffee Avert Blogs, en la que se explica el funcionamiento de este código dañino.
Funcionamiento
Al parecer, se trata de un troyano que utiliza dos partes: la primera, un servidor de películas pornográficas que alega la necesidad de utilizar un codec no instalado para la visualización de las películas; y la segunda, el instalador del codec propiamente dicho, que en realidad no instala más que el malware correspondiente. Ese instalador, cuyo nombre en código parece ser Puper o MacCodec, al parecer, existía únicamente para Windows, y ahora los servidores son capaces de detectar un navegador Mac y servir una imagen de disco .dmg en lugar de un ejecutable .exe para Windows.
Si el usuario no ha desactivado (como debería hacer) la opción Preferencias > General > Abrir archivos seguros… de Safari, la imagen de disco se monta y el instalador del malware se pone en marcha en cuanto hayamos verificado que, pese a contener una aplicación, queremos abrir el archivo. En cualquier caso, si hemos creído que la imagen de disco contiene un software útil —un codec nuevo, en este caso_—, el usuario hará doble clic sobre la imagen de disco, y posteriormente sobre el instalador.
Puesto que dicho instalador nos pide la contraseña de administrador, a partir de ese momento se puede instalar cualquier cosa en el sistema. ¿Qué es lo que instala MacCodec? Al parecer, instala un programa que sustituye las direcciones de los servidores DNS —los encargados de transformar www.google.es en 64.233.183.104, auténtica dirección que utilizan los ordenadores—, de modo que si uno teclea www.banesto.es, por ejemplo, puede acabar en un sitio falso, distinto del original, sin haber hecho clic en un enlace falso, lo que hace mucho más difícil de detectar los intentos de phising, o fraude bancario por internet.
Impacto
No se dispone de información sobre el número de equipos infectados, pero Avert Labs informa de que existen docenas de páginas web que sirven la imagen de disco que contiene MacCodec. Así mismo, el instalador y el programa no contienen fallos aparentes, de modo que funciona a la perfección, especialmente porque la infraestructura de servidores DNS trucados depende más de dichos servidores, de modo que, en principio, un usuario no debería poder advertir a primera vista que su ordenador ha sido modificado para utilizar DNS diferentes.
No hay información acerca de si resulta posible leer en el panel Red de Preferencias de Sistema los nuevos DNS, lo que ayudaría a la alarma.
Lo que sí sigue siendo cierto es que no se puede instalar automáticamente: aunque una página web ofrezca la descarga automáticamente, y Safari comience la descarga, el archivo .dmg queda en cuarentena hasta que el usuario haya verificado que quiere abrir ese archivo, aunque contenga una aplicación. Además, es necesario introducir una contraseña de usuario y de administrador… aunque el usuario pueda pensar que es normal porque, después de todo, está utilizando un instalador.
El cambio de los servidores DNS para que produzcan direcciones diferentes cuando se introducen URLs del tipo que los usurpadores deseen hace que las técnicas habituales de defensa contra el fraude bancario en internet dejen de ser útiles.
Y dependiendo del funcionamiento del programa, puede ser que la única pista para la desinstalación se encuentre en el script de instalación ejecutado, porque el menú Mostrar archivos del Instalador puede mostrar archivos que no tengan función alguna.
Prevención
La mejor prevención consiste en la desconfianza. A no ser que se compruebe la existencia y utilidad de un programa por medio de otros canales, uno no debería instalar cualquier programa que se ofrezca por ahí.
Y no minimicemos este troyano por el hecho de no ser un virus, y necesitar del usuario para su instalación: el nivel de ingeniería social utilizado es suficiente para convencer a una inmensa mayoría de usuarios potenciales para utilizarlo. Dicho de otra forma, la ingeniería social consiste en programar al usuario para que realice una secuencia de acciones, porque se encuentra convenientemente motivado.
Me temo que la utilidad de validación de programas descargados (tanto por Safari como por iChat) que se ha incluido en Tiger, y que forma parte de Leopard desde el principio, comenzará a incluir información extra para detectar este tipo de programas, y si no, al tiempo…
Comentarios
3 respuestas a «Desde la LSPM: Puper/MacCodec, troyano de alto riesgo para Mac OS X»
Hola Juande,
Creo que en la información de Intego sobre el troyano dicen que sí aparecen las DNS en preferencias de sistema red añadidas, pero aparecen “dimmed” lo que no te permite eliminarlas.
Saludos,
silta
Desde la LSPM: Puper/MacCodec, troyano de alto riesgo para Mac OS X
Juan de Dios nos aclara lo que podría ser el primer troyano “serio” que amenaza la supuesta invulnerabilidad de Mac OS X frente a este tipo de ataques y virus. La noticia completa en su bitácora.
Hola,
Creo que este tipo de ataque es incluso más peligroso que un virus por el hecho de que podrían hacer de todo sin que lo notaras. Vamos, que el peligro aumenta por la sensación falsa de seguridad que seguiríamos teniendo, al no notar nada raro como las cosas que suele hacer un virus. Si no me equivoco se podrían interceptar hasta algunas comunicaciones “seguras” con un ataque de man-in-the-middle ¿no?