OS X es uno de los sistemas operativos más seguros del mundo, se han desarrollado muy pocos tipos de malware para el sistema operativo de Apple. Aun así, de vez en cuando aparece un nuevo malware que amenaza a los propietarios de Mac y hoy os hablo de una nueva versión de un malware llamado Imuler. Esta nueva amenaza esta escondido en archivos que inicialmente parecen simples imágenes pero que en realidad son archivos infectados que podrían causarte bastantes problemas. El malware está oculto en archivos publicados con el nombre Imágenes y el artículo de Renzin Dorjee.zip si Chica de portada de febrero de FHM, Irina Shayk, H-Res Pics.zip y el método de infección se basa en que OS X no muestra extensiones de archivos ni miniaturas de las imágenes, por lo que el usuario accede a ellas para verlas.
El malware instala una puerta trasera en /tmp/.mdworker, junto con otros archivos en este directorio. Luego se inicia un proceso llamado .mdworker; el proceso mdworker (no la ausencia del . antes del nombre) es un proceso utilizado por Spotlight para indexar archivos. También se instala un archivo launchagent en ~/library/LaunchAgents/checkvir.plist, junto con un ejecutable en la misma carpeta, asegurando que el malware se inicie cuando el usuario inicie sesión en su Mac o lo inicie. Después de reiniciar, el proceso .mdworker se elimina y se inicia el ejecutable checkvir. Este malware busca datos del usuario e intenta cargarlos en un servidor. También toma capturas de pantalla y las envía al servidor. Crea un identificador único para la Mac específica para poder vincular la Mac y los datos que recopila. Hemos visto que este malware está activo, ya que se conecta a un servidor remoto y descarga nuevos ejecutables.
Después de acceder, el malware abre un proceso, llamado .mdtrabajador, en Mac y al reiniciar abra un archivo previamente copiado en ~/library/LaunchAgents/checkvir.plist. Si ha sido infectado con este malware, la información recopilada de todo el sistema operativo más capturas de pantalla de la pantalla de Mac se enviará desde su Mac a los servidores de los piratas informáticos, para que los piratas informáticos puedan descubrir todo lo que hace sin mucho esfuerzo. Para protegerse, asegúrese de haber activado la opción para mostrar extensiones de archivos en Finder>Preferencias>Mostrar todas las extensiones de nombre de archivo.
