Investigadores de la compañía de seguridad informática Bitdefender descubrieron un backdoor diseñado para Mac OS X, que permite establecer un control completo del sistema con acceso anónimo a través de la red Tor. El malware no está firmado con un certificado de Apple y por lo tanto, puede pasar inadvertido solo si el usuario desactiva la defensa Gatekeeper.
El malware para Mac, que se detecta como Backdoor.MAC.Eleanor, se propaga bajo la apariencia de la aplicación para convertir archivos EasyDoc, Converter.app, disponible en muchas tiendas especializadas en línea. Según Bitdefender, el conversor falso no implementa ninguna de las características indicadas, sino que ejecuta un script malicioso que instala y registra (haciéndose pasar por Dropbox) tres componentes de Eleanor: un servicio oculto de Tor, un servidor web con un componente PHP y el agente Pastebin.
El servidor local funciona como servidor de administración y permite a los atacantes ejecutar varias acciones en el equipo de la víctima: ver, editar, borrar, cargar, descargar y comprimir archivos; ejecutar comandos, códigos shell y scripts escritos en PHP, Perl, Python, Ruby, Java y C; realizar cambios en bases de datos (MySQL, SQLite, y etc.), revisar la configuración del cortafuegos y buscar un punto de entrada a la red de destino, ver la lista de procesos y aplicaciones que se ejecutan a través del Administrador de tareas y enviar mensajes de correo electrónico con archivos adjuntos. Eleanor utiliza también wacaw, una herramienta de código fuente abierto para tomar fotos y filmar videos con la cámara web de la víctima.
“Este tipo de malware es particularmente peligroso porque es difícil de detectar, al tiempo que proporciona al atacante el control total del sistema comprometido”, destacó Tiberio Axinte, director técnico de los analistas de amenazas virales de Bitdefender. “Por ejemplo, puede denegar al usuario el acceso a su portátil, chantajearlo, amenazarlo con divulgar sus archivos privados o conectar la computadora a una red de bots para lanzar ataques a otros dispositivos. Las posibilidades son infinitas en este caso”.
El componente Tor de Eleanor se comunica con un panel de control protegido con contraseña, lo que permite al atacante acceder al servidor de administración local usando una URL única, que se genera in situ y se almacena en Pastebin. Antes de guardarlas, las direcciones onion generadas se encriptan con base 64 y una clave RSA pública. El registro más antiguo encontrado en Pastebin, está fechado el 19 de abril, sin embargo, los investigadores que lograron ingresar a las cuentas no pudieron determinar el número exacto de infecciones: las muestras de Eleanor usan cuentas separadas y Bitdefender solo tiene acceso a algunas de ellas.
“La aplicación [maliciosa] no está firmada con el certificado de desarrollador de Apple”, comenta Thomas Reed de Malwarebytes. “En cierto modo, esto es bueno, porque así es más difícil abrirla (de forma predeterminada, Mac OS X no abre aplicaciones sin firmar). Pero esto también tiene un aspecto negativo: si el usuario tiene muchas ganas de abrirlo, como no hay ninguna firma, Apple no será capaz de desactivar la aplicación con la simple revocación del certificado”.
Computadoras Mac, atacadas por un backdoor manejado desde Tor