Según han revelado varias compañías de seguridad, se ha descubierto un nuevo troyano para OSX el cual haciendose pasar por un documento PDF instalaría una puerta trasera que permitiría el acceso remoto a nuestro equipo. Se trata de una nueva muestra de que los creadores de malware se están fijando cada vez más en el sistema de la manzana, posiblemente como consecuencia del incremento de cuota que está experimentando.
En cuanto al troyano en si, emplea una técnica bastante conocida en Windows, ya que lo que hace es simular ser un archivo PDF cuando realmente se trata de un ejecutable, aunque nosotros veremos un icono de archivo PDF y no nos percataríamos a menos que tuviésemos activada la opción de ver las extensiones de archivos. Es el conocido como «truco de doble extension«, que se aprovecha de la posibilidad de añadir puntos en el nombre del archivo, mostrando las letras «.pdf» como si estas fuesen su extensión (aunque si tenemos activada la opción de mostrar la extensión nos deberíamos percatar del fallo tal y como comentabamos).
Según se ha informado, parece que se trataría de una versión beta y es que todavía no sería capaz de conectarse con el servidor de comando y control, por lo que no sería operativo, pero estaríamos ante un primer paso.
Para comprobar si vuestro equipo esta afectado por el troyano bastaría con buscar un proceso de nombre «checkvir», empleando el Monitor de actividad (dentro de utilidades). Si lo veis, seleccionarlo y haced click en la opción de salir del proceso, tras lo cual, y para eliminarlo definitivamente, deberéis abrir la carpeta Launch Agents dentro de Library y eliminar los archivos checkvir y checkfir.plist.
2 comentarios en «Nuevo troyano para OSX escondido en forma de PDF»