Investigadores de la compañía rusa que representa el famoso antivirus Dr. Web han detectado un nuevo malware en computadoras Mac que permite la apertura de puertas traseras para interconectar a una red de 17.000 computadoras ‘zombies’ alrededor del mundo.
El malware está ubicado en el directorio /Library/Application/Support/java haciéndose pasar por una aplicación com.JavaW, el cual se ejecuta en el arranque de la máquina. En realidad, se trata de un gusano apodado Mac.BackDoor.iWorms, el cual tiene como objetivo afectar a computadoras corriendo el sistema operativo OS X y hace un uso extenso de cifrado en todas sus rutinas, según los investigadores.
Este gusano es capaz de identificar el software que ha sido instalado en la máquina, pero también permite la apertura de una puerta trasera para transmitir información sobre la computadora, como la versión del sistema operativo, puertos abiertos, y hasta el tiempo de actividad, todo ello enviando a un servidor de computadoras registradas en un servidor de mando y control (C&C).
Para lograr su objetivo, obtiene direcciones IP desde servidores C&C que aparecen en Reddit. La consulta se apega a un orden de días, transfiriendo los primeros 8 bytes de información de la fecha, enviados al servidor alojado en la plataforma de información y publicación de contenidos.
Una vez que la puerta trasera se autentifica de manera exitosa a través del servidor, ya es posible transmitir información, a la espera de instrucciones. Los investigadores dicen que “la búsqueda en Reddit devuelve una página web que contiene la lista de las servidores y puertos de mando y control publicados por los delincuentes en los comentarios al post minecraftserverlists, al mando de la cuenta de vtnhiaovyd.” Todo este contenido aparentemente ha sido eliminado.
Los países con mayor número de máquinas infectadas refieren a EE.UU como el principal, y le siguen Canadá, Reino Unido, Europa, Australia, Rusia , Brasil y México.
En general, una red de computadoras infectadas con un gusano pueden ser atacadas de diversas maneras, como ataques DDoS, spam y robo de información, en casos más graves. Hasta ahora se desconoce el impacto real de este problema, esperando que muy pronto se obtengan más detalles.
