Se descubre nuevo Troyano en Mac OS X, SabPub

Se descubre nuevo Troyano en Mac OS X, SabPub

Kaspersky Lab reportan que hay un nuevo malware en la red, llamado Backdoor.OSX.SabPub.a. Hay al menos dos variantes siendo esparcidas a través de exploits de Java.

 


El investigador en seguridad de Kaspersky Lab, Costin Raiu, ha descubierto otro Troyano en Mac OS X. Backdoor.OSX.SabPub.a (mejor conocido como SabPub). El malware utiliza exploits de Java para infectar a una Mac, conectada a un sitio Web remoto, en espera de instrucciones que incluyen tomar impresiones de pantalla de la Mac del usuario y la ejecución de comandos.

 

«Los exploits de Java parecen ser bastante normales, pero han sido ofuscados usando con el flexible y muy poderoso ZelixKlassMaster”, escribió en el blog Raiu Securelist. «Esto se hizo evidente con el fin de evitar la detección de productos anti-malware”.

 

El descubrimiento de Raiu sucedió en el momento en el que los usuarios del Mac se encuentran en alerta máxima sobre el troyano Flashback, que ha infectado alrededor de 600,000 Macs en todo el mundo. Ese exploit, que también utiliza Java, es capaz de pescar las contraseñas del usuario, otra información de su navegador de Internet o algunas aplicaciones. Apple lanzó el viernes una herramienta diseñada para eliminar Flashback de las máquinas infectadas. Antes de ese lanzamiento, se creía que había 270,000 Macs que estaban infectadas con el troyano, muy abajo de la cifra real.

 

Ayer en un post de seguimiento sobre Securelist, Raiu proporcionó un poco más de información sobre SabPub para ayudar a diferenciarlo de Flashback. Informó que circula actualmente al menos dos variantes de SabPub en la red, incluyendo una que se remonta a febrero. El malware parece que se distribuye a través de ataques dirigidos, lo que limita su habilidad propagarse como lo hizo Flashback.

 

Raiu también informó de que el malware parece estar propagándose a través de documentos de Word que se aprovechan de la vulnerabilidad CVE-2009-0563 relacionado con un desbordamiento de búfer en Office para Mac.

 

«Lo más interesante aquí es la historia del segundo variante SabPub. En nuestra colección de virus, se llama ’8958.doc’”. Raiu escribió en el blog. «Esto sugiere que fue extraído de un documento de Word o se distribuye como un archivo doc.”
Apple no respondió de inmediato a la solicitud de CNET para hacer comentarios.

Fuente | UNAM