Mac OS X es mucho más seguro que Windows, pero eso no significa que el sistema operativo de Apple esté completamente libre de amenazas. Recientemente ha salido a la luz un nuevo troyano llamado BlackHole Remote Access Trojan, que tiene la forma de una aplicación fácil de usar que permite entrar en otros ordenadores a partir de su IP.

Usando este troyano, un usuario puede tomar el control de un Mac ajeno y reiniciarlo, apagarlo, ponerlo en reposo, ejecutar comandos de terminal, abrir páginas web (que si a su vez son webs maliciosas el posible daño es aún mayor), copiar archivos de texto en el escritorio, solicitar la contraseña del administrador sin motivo alguno… el mayor problema es que la aplicación es muy fácil de usar y en manos de un usuario poco experto y con malas intenciones podría dar más de un dolor de cabeza a algunos usuarios.

Que no cunda el pánico: BlackHole está en fase beta, por lo que todavía no representa una amenaza real. De todos modos podría serlo en poco tiempo ganando más funcionalidades, por lo que la empresa de seguridad Sophos (que es la que ha informado en primer lugar de este troyano), recomienda tomar medidas.

Vía | Xataka ON > nakedsecurity

OSX/Jahlav-C es el nombre de un nuevo troyano que se acaba de descubrir camuflado como un códec de vídeo por el equipo de ParetoLogic. Por lo que se ha visto, el troyano está asociado a una web llamada PornTube y pedía permiso al usuario para instalarse como un códec de vídeo.

Si el usuario acepta la instalación de ese falso códec de vídeo (cuyo nombre es “AdobeFlash”) se crea un script el el directorio /Librería/Internet Plug-Ins, que se ejecuta periódicamente y contiene, dentro del script, otro script realizado en Perl que se comunica con una web de terceros descargando datos maliciosos.

Según la fuente, otros archivos susceptibles a este troyano son HDTVPlayerv3.5.dmg, VideoCodec.dmg, FlashPlayer.dmg, MacTubePlayer.dmg, macvideo.dmg, License.v.3.413.dmg, play-video.dmg y QuickTime.dmg. Desde Applesfera recomendamos que si os aparece una solicitud para aceptar e instalar cualquiera de estos archivos, no lo hagáis para evitar disgustos en el futuro.

Vía | MacNN
Imagen | ancientvine

Hace escasos días os informábamos de la existencia de una red botnet de macs “zombies”, o lo que es lo mismo: Alquien está usando los macs de algunos usuarios para efectuar ataques ilegales sin que ellos se den cuenta.

Para saber si tú formas parte de esta red sin darte cuenta y eliminar el troyano en el caso de que estés infectado, existen una serie de comandos del terminal. Lo primero que tenemos que hacer es ejecutar el siguiente comando de terminal (os pedirá la contraseña de administrador) para comprobar si estamos infectados o no:

sudo ps aux | grep -i iworkserv | grep -v "grep"

Si la ejecución de este comando no os devuelve absolutamente nada, ya podéis respirar tranquilos y dejar de leer este artículo. Si os devuelve algún resultado, probablemente estéis infectados. Ejecutad los comandos que se listan en la entrada extendida.

Una vez que sabemos que estamos infectados, ejecutaremos el siguiente comando para comprobar si hay algún fichero abierto por el proceso iWorkServices (el responsable de la infección y presente en las versiones pirateadas de iWork’09).

sudo lsof -i -P | grep -i iworkserv

Si este comando devuelve algún archivo, probablemente estás infectado. Ejecuta el siguente comando para encontrar esos ficheros en tu disco duro:

sudo find / -iname "iworkserv*" -print

Si este comando te devuelve algún resultado, lo más seguro es que estés infectado, y se recomienda encarecidamente que ejecutes una herramienta gratuita de eliminación del Troyano, realizada por SecureMac y descargable desde aquí.

Vía | The Apple Blog
Imagen | Flickr de ancientvine

Ya hubo algunos problemas referidos a la seguridad en los ordenadores de Apple a raíz de unas versiones pirateadas de Adobe Photoshop CS4 y de iWork’09. Pero parece ser que ahora, a raíz de esas versiones, se ha descubierto que algunos ordenadores podrían haberse convertido involuntariamente en zombies componentes de una botnet.

¿Qué significa esto? Significa que en el caso de que tu mac sea un zombie, algún hacker podría usarlo para realizar ataques de denegación de servicio (DDoS). Esto es usual en ordenadores con Windows sin protección, pero es la primera vez que sucede en el entorno de los mac.

Como el ataque DDoS usando macs zombies se detectó en enero, y los antivirus ya son capaces de eliminar los troyanos responsables de implicar el ordenador en un ataque hacker. De todas formas, recomendamos que reviséis vuestros ordenadores en el caso de que hayáis instalado esas versiones pirateadas de iWork o Photoshop.

Vía | Ars Technica
Imagen | Flickr de charliekwalker

Si la semana pasada nos toco dar malas noticias sobre un troyano distribuido en copias ilegales de iWork 09 esta semana nos toca de nuevo volver a dar malas noticias. En este caso el afectado es un parche ilegal para Photoshop CS4.

Este parche en lugar de realizar su tarea, completamente ilegal por otra parte, crea una puerta de acceso a nuestro ordenador para hacer un uso incontrolado del mismo sin nuestro permiso. Para ello se sirve lógicamente de la creación de una cuenta de root por lo que necesita de nuestra contraseña para instalarse.

Además de avisar desde Applesfera os recomendamos otros programas como Pixelmator, muy potente versátil y con un precio más que accesible accesible para la mayoría de usuarios. Por último un apunte sobre los troyanos para la gente que no conozca muy bien que son y como funcionan.

Un troyano no es en sí un virus, aún cuando teóricamente pueda ser distribuido y funcionar como tal. La diferencia fundamental entre un troyano y un virus consiste en su finalidad. Para que un programa sea un “troyano” sólo tiene que acceder y controlar la máquina anfitriona sin ser advertido, normalmente bajo una apariencia inocua. Al contrario que un virus, que es un huésped destructivo, el troyano no necesariamente provoca daños porque no es su objetivo.

Vía | Faq-mac
Más información Troyanos | Wikipedia
En Applesfera | Pixelmator: ¿Un nuevo “Photoshop” para Mac?

El archivo que contiene el software malicioso es iWorkServices.pkg. Mediante el cual se instala iWorkservices dentro de la carpeta Startupitems, haciendo que se ejecute nada más arrancar nuestro equipo. Este elemento obtiene permisos de ejecución, lectura y escritura o lo que es lo mismo: control total.

Para terminar de rizar el rizo se conecta mediante internet a un servidor que notifica de su presencia para que algún indeseable pueda hacer de las suyas.

En estos momentos habrá muchos que estarán disfrutando por este hecho pero recordar que esto es fácilmente evitable por dos motivos:

• El primero es que cuando descargamos cualquier archivo de internet, la norma primera de la seguridad es la precaución. Igualmente aplicable en otras plataformas. Por tanto, descarga de sitios confiables. Y para ello nada mejor que su sitio oficial.
• El segundo es que a día de hoy y pese al riesgo de crecer las amenazas vemos que para infectar un equipo con Mac OS X se necesita de la colaboración del usuario. Pues debéis introducir vuestra contraseña de administrador.

En definitiva, con esto no voy a excusar ni restar importancia a la noticia. Es grave y se debe andar con ojo. Y como ya hemos dicho en otras ocasiones, cuando el software es de calidad y sobre todo tiene un precio tan bueno como el del paquete iWork (sólo 79 euros) creo que merece la pena contar con la versión legal. Y si lo quieres probar descarga la versión trial de la web de Apple.

Si estáis infectado porque hayáis instalado una de estas copias infectadas podéis hacer uso de herramienta de eliminación de SecureMac, totalmente gratuita y disponible en si sitio web.

Más información | MacScan, SecureMac
Descarga | Herramienta eliminación OSX.Trojan.iServices.A
Descarga | Versión de prueba de iWork 09

Recientemente se ha descubierto una vulnerabilidad en Mac OS X Leopard, que permite que un intruso pueda ejecutar scripts con privilegios de root desde otro ordenador en la red local. Dicho de otro modo, alguien que esté en la misma red de ordenadores podría llegar a tomar el control de tu ordenador sin dificultades, pudiendo capturar una foto con la iSight o capturando una imagen de tu escritorio.

Sin embargo el problema se agrava, ya que aprovechando variantes de un Troyano llamado AppleScript-THT el intruso podría ser no sólo de la red local, sino de cualquier sitio con conexión. Hasta que Apple no resuelva el problema con una actualización, aconsejan abrir el terminal y escribir el siguiente comando:

Pulsando Intro después de escribir este comando, podemos verificar si todo ha ido bien escribiendo este otro comando:

Si al pulsar Intro no nos aparece la palabra “root”, ya estamos protegidos contra la vulnerabilidad. De momento, esperemos que Apple reaccione rápido ante la importancia de este fallo y publique una actualización de seguridad lo más pronto posible.

Vía | The Apple Blog
Imagen | Flickr de The Trojan Project