-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
-------------------------------------------------------------------
Hispasec - una-al-día 23/01/2009
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------
Malware oculto en una copia pirata de Apple iWork 09 para Mac OS X
------------------------------------------------------------------
En Intego han encontrado una copia pirata y troyanizada de iWork 09
circulando por las redes de pares. Lo relevante en este caso es que el
software es para el sistema operativo Mac OS X. Los atacantes parecen
seguir teniendo cierto interés en este sistema operativo.
Los investigadores han encontrado una copia completa y funcional de
iWork 09 para Mac OS X en redes de torrent, pero con un añadido: OSX.Trojan.iServices.A. El troyano se oculta en el paquete
iWorkServices.pkg. Se instala en la carpeta de inicio para asegurar su ejecución continuada en el sistema infectado. Según la compañía que lo
ha descubierto, (que se dedica a vender software para proteger sistemas Macintosh) 20.000 usuarios ya lo han descargado gratuitamente desde
estas redes. El iWork 09 cuesta unos 80 dólares.
El troyano no es muy sofisticado. Notifica a un servidor (perteneciente
al atacante) de que un sistema ha sido infectado, lo introduce en su red controlada de bots y, entre otras cosas, está diseñado para provocar denegaciones de servicio distribuidas a servidores web a través de una avalancha de peticiones. Al parecer está programado en un principio para
atacar al servidor dollarcardmarketing.com al que ya ha causado serios problemas de disponibilidad.
El malware para Mac va en aumento. En los últimos años en especial, los
de la familia DNSChanger que modifican los servidores DNS para que la
víctima se dirija a páginas arbitrarias. Lo interesante de este suceso
es que el atacante ha buscado una forma relativamente poco usada de
difundir el troyano. El iWork pirata está completo, no es un "fake".
Durante la instalación (sea original o no) el programa pedirá
credenciales de root para poder ejecutarse y ahí es donde el atacante
salva un importante escollo: el usuario entenderá que para ahorrarse el
pago del software original e instalar el pirata, necesita temporalmente privilegios de administrador.
Aunque las vulnerabilidades para Mac OS X son muchas y muy graves, los atacantes todavía no las están aprovechando en masa para difundir
malware en este sistema operativo. Esta técnica la dejan para usuarios
de Windows, principalmente. Esto es así porque normalmente, el usuario
de Windows trabaja como administrador por defecto (excepto en Vista), y
la explotación de vulnerabilidades no requerirá elevación de
privilegios. Así, de forma transparente el atacante podrá ejecutar e
infectar a sus anchas de una sola vez.
Por el contrario, para las víctimas de Apple se valen normalmente de la ingeniería social para intentar tomar control del sistema. Quizás por el
hecho de que habitualmente en Mac se trabaja con usuarios limitados. Si
el atacante desea infectar realizando cambios significativos en el
sistema, necesita conocer de alguna forma la clave de root o que el
usuario se la proporcione, y ahí es donde entran "las malas artes" para
hacer creer a la víctima que el malware camuflado las necesita. Si
aprovechase vulnerabilidades de programas que se ejecutan bajo cuentas limitadas, la infección significativa del sistema no sería del todo transparente.
En cualquier caso, esta técnica de infección es usada desde hace años
contra usuarios Windows con muchísimo éxito, pero la (ir)responsabilidad
es exclusiva del usuario, esto no es problema del sistema operativo. Las
redes de pares están llenas de programas y archivos troyanizados o de
troyanos directamente. Descargar y ejecutar software de dudosa
procedencia sin tomar las medidas de seguridad adecuadas, es jugar a la
ruleta rusa con el sistema operativo, independientemente del que se
utilice y de lo seguro (o no) que se crea que es.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3744/comentar
Más información:
Mac Trojan Horse OSX.Trojan.iServices.A Found
in Pirated Apple iWork 09
http://www.intego.com/news/ism0901.asp
Sergio de los Santos
ssantos@hispasec.com
Tal día como hoy:
-----------------
23/01/2008: Cross site scripting a través de mod_negotiation en Apache 1.x y 2.x
http://www.hispasec.com/unaaldia/3378
23/01/2007: Se hacen públicas varias vulnerabilidades en Microsoft Visual Studio
http://www.hispasec.com/unaaldia/3013
23/01/2006: Denegación de servicio en fetchmail 6.3
http://www.hispasec.com/unaaldia/2648
23/01/2005: Múltiples vulnerabilidades en Mac OS X 10.3
http://www.hispasec.com/unaaldia/2283
23/01/2004: Estadísticas anuales del CERT
http://www.hispasec.com/unaaldia/1916
23/01/2003: Vulnerabilidad en servicio Localizador de diferentes sistemas Windows
http://www.hispasec.com/unaaldia/1551
23/01/2002: Vulnerabilidad en PINE
http://www.hispasec.com/unaaldia/1186
23/01/2001: Desbordamiento de bufer con Microsoft PowerPoint 2000
http://www.hispasec.com/unaaldia/821
23/01/2000: Fallo de seguridad en PHP
http://www.hispasec.com/unaaldia/453
23/01/1999: Microsoft deja visible el portapapeles en Internet
http://www.hispasec.com/unaaldia/88
-------------------------------------------------------------------
Claves PGP en
http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:
unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:
unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2009 Hispasec
http://www.hispasec.com/copyright
-------------------------------------------------------------------
--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet
telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)