Durante el fin de semana se ha hablado bastante de iWorm, una nueva amenaza para Mac OS que, según la información obtenida por la firma de seguridad Dr. Web, habría afectado a más de 17.000 Mac en todo el mundo -más de 800 de ellos en España, 690 en Brasil y 525 en México.

Si bien las cifras de infección no son especialmente elevadas si las comparamos con lo que estamos acostumbrados a ver en Windows, no deja de ser un incidente más en la lista de malware orientado a sistemas Mac OS, el cual en los últimos años ha experimentado un importante crecimiento.

Viejas técnicas, nuevos objetivos

Los delincuentes han utilizado una técnica de probada eficacia para conseguir infectar a sus víctimas, y no es otra que la de infectar versiones modificadas de programas legítimos que se podían descargar desde sitios de compartición de enlaces como The Pirate Bay. Ya hace años vemos casos de este tipo, como por ejemplo el troyano escondido en la aplicación Apple iWork 09 troyanizada, descargable desde Torrent.

En esta ocasión, el cebo elegido han sido conocidos programas de Adobe como Photoshop CS o Illustrator CS, algo entendible si consideramos que se quiere llegar al mayor número posible de víctimas. No obstante, las medidas de seguridad incorporadas por Apple en las últimas versiones de su sistema operativo hacen su trabajo, alertando de aquellos indicios que pueden ayudar a detectar una amenaza.

Si el usuario descarga e instala el programa troyanizado, el sistema muestra una alerta indicando que la aplicación no viene firmada. Esta característica viene integrada por defecto en las últimas versiones de Mac OS X y está pensada para evitar situaciones como esta, aunque, como acabamos de comprobar, aún quedan usuarios que no la tienen en cuenta.

Obteniendo el control de la máquina infectada

Si se han dado permisos a la aplicación troyanizada para que se instale en el sistema y, consecuentemente, infecte la  máquina, el malware se copiará en una carpeta que le garantiza la ejecución en cada reinicio. Además, el nombre que se autoasigna (JavaW) puede hacer pensar que se trata de un servicio legítimo de Java, confundiendo así al usuario.

Una vez presente en el sistema, intenta conectarse con una serie de servidores en unas direcciones IP que se podían encontrar en varios posts de Reddit. Sin duda, una estrategia curiosa para proporcionar estos datos, aunque tampoco es la primera vez que vemos algo similar.

Estos servidores actúan de Centro de Comando y Control (C&C) de la botnet formada por estos equipos Mac infectados y son los encargados de enviar las órdenes que deseen ejecutar los delincuentes tras esta amenaza. Si bien el número de equipos Mac afectados y dentro de esta botnet no es excesivo, sí que es lo suficientemente grande para realizar cierto tipo de ataques como enviar spam, propagar nuevos ejemplares de malware o realizar ataques de denegación de servicio.

Detectando y eliminando iWorm

Aunque el número de ordenadores Mac afectados no ha sido especialmente elevado, se han tomado las medidas necesarias para evitar que siga propagándose. Apple ha añadido iWorm a la base de firmas de XProtect, su herramienta de seguridad que, aunque dista mucho de ser una solución completa, ofrece una protección básica contra aquellas amenazas ya detectadas.

Por supuesto, las soluciones de seguridad avanzadas como ESET CyberSecurity detectan iWorm (OSX/Iservice.AG en el caso de ESET) y son capaces de eliminarla sin problemas. También es importante destacar que, en el caso de contar con un firewall (incluyendo el que Apple incorpora de serie), se solicitarán permisos para las conexiones de JavaW, otro síntoma de la infección que puede ayudar a identificar si el sistema se encuentra infectado.

Por su parte, Reddit ha eliminado aquellos posts en los que se ofrecía información al malware sobre aquellas direcciones IP a las que debía conectarse, por lo que podríamos decir que la amenaza está prácticamente controlada.

Conclusión

Si bien el número de ordenadores Mac infectados ha sido bajo, este tipo de incidencias de seguridad debe servirnos para recordar que los vectores de ataque que tan buenos resultados les han proporcionado a los delincuentes durante años en otras plataformas como Windows, pueden ser portados sin mayores problemas a otras plataformas. Después de todo, en estos 10 años de malware para Mac OS X hemos visto desde un troyano como Koobface que se volvía multi-plataforma, hasta cómo el popular Angry Birds fue utilizado por un malware para Mac que roba Bitcoins.

Entonces, no nos creamos invulnerables por usar tal o cual sistema y apliquemos las medidas de seguridad adecuadas. No te pierdas esta serie de consejos para proteger a tu Mac.

Este post nos llega de la mano de Ontinet, Distribuidor de ESET en España.