Hallan puerta trasera en Mac para atacar compañías de investigación médica
Los investigadores en seguridad de Malwarebytes han descubierto una puerta trasera en Mac que usa código anticuado y tiene como objetivo instalaciones de investigación biomédica.
El malware probablemente fue creado hace años, pero solo se ha descubierto recientemente. Malwarebytes especula que no se encontró antes porque únicamente se utilizaba en ataques dirigidos, limitando su exposición.
La investigación científica estadounidense y europea es conocida por ser el objetivo de atacantes chinos y rusos.
El malware solo salió a la luz después de que un administrador detectara tráfico inusual de red saliente desde un equipo Mac en particular. Esto llevó al descubrimiento de una pieza de malware, que Malwarebytes detecta como Quimitchin.
El malware cuenta con llamadas antiguas del sistema, algunas de las cuales datan de los días previos al OS X. Además, el binario también incluye el código fuente libre de libjpeg, actualizado por última vez en 1998.
«La presencia de los comandos de la línea de comandos de Linux en el código original nos llevó a intentar ejecutar este malware en una máquina Linux, donde descubrimos que (con la excepción del binario Mach-O) todo funcionaba bien», explica Malwarebyes. «Esto sugiere que puede haber una variante de este malware especialmente diseñado para funcionar en Linux, tal vez incluso con un ejecutable de Linux en lugar del ejecutable de Mach-O. Sin embargo, no hemos encontrado tal muestra».
El malware está diseñado principalmente para capturas de pantalla y acceder a la cámara web en los equipos Mac comprometidos. También es capaz de realizar control remoto y mapeo de la red local.
Apple, que llama el malware Fruitfly, anunció que está a punto de liberar la protección contra el malware. Se espera que otros vendedores de seguridad lo hagan también. Malwarebytes debe publicar más información sobre el software malicioso en una entrada de blog que se publicará próximamente.
Quimitchin eran los espías aztecas que se infiltraban en otras tribus. «Considerando el código ‘antiguo’, pensamos que el nombre era apropiado», dijo Malwarebytes.
Fue originalmente publicado en: Seguridad.unam.mx