Los de SecureMac han colgado una nota informando sobre los esfuerzos de unos hackers en desarrollar el troyano BlackHole RAT para Mac; aunque ese troyano no es exclusivo para los Macs, también tiene una versión para Windows.
El autor, o los autores, del BlackHole RAT llevan varios meses trabajando en ese troyano, y lo último es que están ahora con una versión 2.0 beta.
Ese troyano funciona mediante Java, y aunque es algo inestable según comentarios del supuesto autor – en cuanto llega a colocarse con éxito en un Mac, tiene opciones para ejecutar comandos Shell, también puede fingir y hacer que aparezca una ventana de estilo sistema de Mac OS X para pedir al usuario que propocione su login y contraseña – intentando de esa manera conseguir un mayor acceso de privilegios sobre OS X, para escribir archivos o hacer todavía más daño a su víctima.
De momento el RAT Blackhole 2.0 parece estar en “pruebas”, o sea que si que hay sitios en la web desde los cuales se intenta distribuir, pero todavía serán pocos – de eso también va de que esta en “beta”.
A finales de febrero, Methusela Cebrian Ferrer, hizo una pruebas del RAT Blackhole “1.0″ , colocandolo en un Mac OS X virtualizado, para luego pilotarlo desde “su” Mac. Ha hecho un video enseñando las principales funciones que ya estaban hechas/programadas en esa versión del Troyano. Os cuelgo el vídeo aquí, y más abajo mas información sobre los objetivos y las posibilidades que tiene ese troyano:
Aquí os pongo una lista recopilando las operaciones que llega hacer ese troyano RAT Blackhole, aunque algunas de estas opciones todavía no están del todo operacionales:
- Ejecutar de manera remota comandos al nivel Shell.
- Abrir una página web mediante el navegador predeterminado del usuario infectado.
- Enviar un mensaje que se muestra en la pantalla de las víctimas.
- Crear un archivo de texto.
- Es capaz de apagar, reiniciar y o poner en reposo el Mac infectado.
- Es capaz de solicitar privilegios de administrador.
- Es capaz de bloquear la pantalla de la víctima con un mensaje.
- Tomar una foto mediante la cámara iSight del Mac infectado.
- Es capaz de ”borrar la ventana de actividad”.
- Es capaz de ”cambiar los permisos de la ventana de la actividad”.
- Es capaz de rellenar el disco duro del Mac infectado con archivos o datos aleatorios.
- Añadirse a los ítems de Arranque de OS X.
Sobre la primera versión 1.0 y sus variantes, los de SecureMac añadían lo siguiente:
La última variante de este troyano fue creada a principios de este mes [de Febrero 2011], por lo que es probable que más variantes se darán a conocer en las próximas semanas contra los usuarios de Mac.
MacScan [el anti-virus que comercializa SecureMac] se ha actualizado para detectar esta nueva amenaza, que esta siendo detectada ahora como BlackHole RAT 1.0a, BlackHole RAT 1.0b, y BlackHole RAT 1.0c, para las tres nuevas variantes descubiertas por SecureMac.
Fuente: SecureMac (aquí traducido por G).
Y sobre esta última versión beta 2.0, comentan lo siguiente:
Esta nueva versión del troyano es sustancialmente diferente de las variantes anteriores, y se describe como la versión 2.0 por el hacker que lo creó. La nueva versión del troyano se agrega como un elemento de entrada disfrazado de Java, tiene un sistema más creíble para el nombre de usuario y contraseña, puede ralentizar el ordenador mediante la vinculación de la CPU con una función de bucle, ejecutar comandos shell, y puede tratar de borrar el disco duro.
En la versión analizada por SecureMac, el autor afirma que el caballo de Troya es inestable, pero la próxima versión mejorara su estabilidad. Parece que el desarrollo de este programa está en marcha, y el autor recientemente comentó en un foro de hackers que la nueva versión ha sido completada y está actualmente en pruebas, por lo que pronosticamos que pronto será distribuido de una manera más generalizada.
Esta nueva versión del troyano es detectada por MacScan como “BlackHole 2.0a RAT” en la actualización de definiciones de spyware publicada el 31 de marzo de 2011.
Fuente: SecureMac (aquí traducido por G).
