Flashback.G
Troyano para equipos Mac que ataca los navegadores web y otras aplicaciones de red y captura nombres de usuario y contraseñas, busca una serie de dominios (tales como Google, Yahoo!, CNN, sitios bancarios, PayPal y otras).
Detalles técnicos
- Nombre completo del virus: Trojan.MAC/Flashback.G
- Tipo de código: Trojan Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por si mismo.
-
Plataformas afectadas: MAC Macintosh, pudiendo afectar a los diferentes sistemas operativos de la familia Mac OS X
- Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
- Alias:
Síntomas
Una de las maneras de saber que el equipo esta infectado es que algunas aplicaciones de repente fallan, generalmente los navegadores web como Safari u otras aplicaciones que usan internet como Skype. Esto es debido a que una fórmula inyectada intefiere con el código fuente de algunas aplicaciones instaladas, haciéndolas inestables.
Infección/Efectos
Cuando Flashback.G se ejecuta, realiza las siguientes acciones:
Ficheros y carpetas
- Crea el siguiente fichero (Fichero donde se almacenan los logs)
- «~/Library/Logs/vmLog»
- «/Users/Shared/.AllXilisoftVideo.so»
- «/Users/Shared/.DocumentConverterdocPrint.so»
- «/Users/Shared/.PCImageEditor.so»
- «~/.MACOSX/environment.plist»
- «/Users/Shared/.InternetHistoryKiller.so»
- «/Users/Shared/.memalloc.so»
- «/Users/Shared/.svcdmp»
Método de infección
El malware llega al equipo al visitar el usuario una página web.
El malware se instala en el equipo utilizando una o dos vulnerabilidades de Java (No se ha indicado cuales pero son dos vulnerabilidades parcheadas por la versiones Java for Mac OS X 10.7 Update 1 y Java for Mac OS X 10.6 Update 6). Si Java esta instalada en el equipo y no se encuentra actualizada, el equipo será infectado sin intervención alguna del usuario, únicamente al visitar una página web.
Si éstas vulnerabilidades no están presentes – si el equipo tiene Java actualizado – entonces el malware intentará un tercer método de instalación. El malware ejecutará un código autofirmado por un supuesto certificado digital de Apple. Este certificado se mostrará, asegurando que es un certificado legítimo de Apple /tal y como se ve en la siguiente imagen). La mayoría de los usuarios no entenderán lo que esto significa y/o darán a continuar sin fijarse en lo que esto significa. De esta manera el troyano se instalará en el equipo.
Sea por el medio que sea, una vez infectado el equipo, el malware al ejecutarse crea un fichero en el directorio /tmp, le da permisos de ejecución con el comando chmod, y lo lanza con el comando nohup.
Este fichero será un downloader que descarga un troyano de un sitio malicioso remoto y lo lanza en el equipo, el cual se inyecta en las aplicaciones legítima instaladas en el equipo.
Cabe mencionar que Flashback.G es bastante precavido ya que si detecta algún sistema de seguridad instalado, su procedimiento de instalación y, por ende, de infección será abortada. En otras palabras, podríamos decir que este troyano se aprovecha de los usuarios que siguen creyendo que los sistemas Mac son infalibles a ataques de malware.
Como parte del proceso de instalación, el malware crea un fichero invisible en la carpeta /Users/Shared/ . El nombre de este fichero es variable, pero usa una extensión .so . Los distintos posibles nombres usados aparecen en la sección «ficheros» de esta descripción. También copia un applet de Java en ~/Library/Caches.
Una vez ejecutado el malware infecta los navegadores web y otras aplicaciones de red , como skype, y monitoriza determinados dominios como Google, Yahoo, PayPal y otros sitios bancarios.
Aparentemente el troyano esta escrito para robar todos los usuarios y contraseñas posibles, pero como Flashback.G interfiere con el código de las aplicaciones Mac, es facild e detectar, uno de los signos de su presencia es que las aplicaciones fallan y se caen.
Contramedidas
Prevención
Para prevenir este tipo de amenazas se recomienda que se compruebe si el sistema está totalmente actualizado. También se debe comprobar si la versión instalada de Java es la última y recordar que para los usuarios de sistemas operativos Mac OS X Leopard o Mac OS X Tiger, Apple no ofrece ningún parche de seguridad para Java, luego la responsabilidad de defender el sistema es sólo de usuario.
No descargue un instalador de Adobe Flash Player de ningún sitio que no sea adobe.com. Mac OS X no incluye Flash Player, pero los usuarios que quieran instalarlo deben visitra el sitio http://www.adobe.com/products/flashplayer
No acepte ningún contenido firmado por un certificado de ‘Apple Inc.’ del cual no este absolutamente seguro/a de su legitimidad. Si le aparece una ventana como la que se muestra en l aimagen, haga clic en «CANCEL».
Desinfección
Si sospecha que su equipo está infectado, puede comprobarlo lanzando un Terminal (en /Applications/Utilities/) y pegando el siguiente comando y pulsando «Enter»:
ls /Users/Shared/.*.so
Si la respuesta que Vd. ve en el terminal incluye la frase “No such file or directory”, su equipo esta limpio.
Si, en cambio, Vd. ve un listado uno o más ficheros con extension .so, su equipo podría estar infectado.
Si su equipo aparece infectado puede seguir los siguientes pasos:
- Elimine los ficheros .so que encuentre en la carpeta /Users/Shared/
- Elimine los applets java que encuentre en la carpeta ~/Library/Caches
- Actualice su equipo Mac y su instalación de Java ejecutando «Apple Software Update» tan a menudo como sea posible.
- No acepte ningún contenido firmado por un certificado de ‘Apple Inc.’ del cual no este absolutamente seguro/a de su legitimidad. Si le aparece una ventana como la que se muestra en l aimagen, haga clic en «CANCEL».
- Realice un escaneo completo de su sistema con una aplicación antivirus actualizada.
