Aunque Mac OS X es reconocido como uno de los sistemas operativos en los que los usuarios no tienen que preocuparse por los virus, es el malware el que se está abriendo camino en la plataforma de Apple. Representantes de las empresas F-Secure y Sophos ellos descubrieron un nuevo tipo de malware llamado genérico Gotero troyano que intenta robar información personal de los usuarios. El troyano está disfrazado de archivo PDF que muestra un texto escrito en chino que, una vez abierto, descarga un programa de puerta trasera de Internet que mantiene el Mac "abierto" al hacker y permite enviarle información.
Este descargador de troyanos es la fase inicial del ataque y es un programa que, cuando se ejecuta, instalará una utilidad de puerta trasera llamada "BackDoor:OSX/Imuler.A" en el sistema. El programa de descarga también descargará y abrirá continuamente un documento PDF chino (acertadamente llamado "trojan.pdf") que contiene declaraciones políticas ofensivas, lo que aparentemente es un intento de distraer al usuario y disfrazar la instalación del malware de puerta trasera. Cuando se instala la puerta trasera, se configurará un agente de lanzamiento en el sistema que se utiliza para mantener continuamente activo el malware en el sistema. Luego se conectará a un servidor remoto y enviará el nombre de usuario actual del sistema y la dirección MAC al servidor, después de lo cual el servidor le indicará que archive archivos y los cargue, o que tome capturas de pantalla y las cargue en el servidor.
Después de instalar la puerta trasera, el hacker puede archivar y cargar archivos desde su Mac o tomar capturas de pantalla de todas las pantallas que abra, prácticamente teniendo acceso a información personal "sensible". Por supuesto, este troyano debe ser ejecutado primero por un usuario con acceso de administrador; de lo contrario, no funcionará, por lo que estarás seguro siempre y cuando no ejecutes aplicaciones desconocidas en tu Mac. Lo irónico es que este tipo de malware funciona con la ayuda de un archivo PDF, al igual que las soluciones de jailbreak, y esto demuestra lo mucho que Apple todavía tiene que trabajar en el campo de la seguridad para este tipo de documentos.
Lo bueno es que el troyano no está construido correctamente y funciona de manera irregular, y los de F-Secure afirman que podría estar ahora en fase de pruebas, pero en el futuro podría volverse mucho más potente. Mi consejo es que no instales nada desconocido en tu Mac y si de la nada se abre un archivo en el que ves caracteres chinos, pues accede a la carpeta /nombre de usuario/Biblioteca/LaunchAgents/ desde Mac y elimine el archivo/carpeta nombrado comprobarvir después de cerrar el proceso desde Activity Monitor.
