OSX/Dockster.A, un spyware en pruebas para MAC OS X

 

Intego ha reportado el descubrimiento de un nuevo malware para sistemas operativos Mac OS X a través de Virus Total. Al spyware lo han llamado OSX/Dockster.A y aun no se conoce exáctamente el medio de infección. Lo que si se conoce es su funcionalidad como backdoor para ofrecer una shell remota desde la que tiene funciones de dropper para la descarga de ficheros y activar el keylogging.

Cuando se ejecuta el sistema se instala automaticamente en el directorio del usuario bajo el nombre de .Dockset, que no podemos verlo a través de Finder, pero si se ejecuta aparece en el Monitor de Actividad.

Figura 1: .Dockset en el monitor de actividad de un Mac OS X

Para conseguir que cada inicio de sesión esté activo crea un launch agent llamado mac.Dockset.deman e intenta conectarse al panel de control en itsec.eicp.net a la espera de instrucciones. Según Intego no tenía registrado una dirección IP por lo que se puede pensar que era una prueba, a la espera de la versión definitiva.

Figura 2: Dirección IP asociada al hostname del C&C

Esta muestra no es demasiado crítica, pero indica que se está trabajando en nuevas softwares maliciosos para Mac OS X, así que debemos estar atentos.

Fuente: Seguridadapple