Los expertos de F-Secure han descubierto un nuevo troyano esta semana, que esta apuntando específicamente a usuarios de Mac OS X. Según informan, este troyano tiene por objetivo, una vez instalado, modificar el archivo /etc/hosts del Mac para mandar todas las consultas Google, no a servidores del motor de búsquedas de la firma de Sunnyvale, pero a servidores del hacker o los autores de este malware.
La forma por la cual están distribuyendo este virus es la de un falso archivo PKG, que pretender ser una instalación del plugin Adobe Flash para OS X, tal cómo lo muestra la imagen de cabecera. Así que eso, si os encontráis repentinamente con un archivo “FlashPlayer.pkg”, tirarlo a la basura, y solo instalar Flash cuando lo habéis bajado directamente desde la página de Adobe http://get.adobe.com/es/flashplayer/.
Este troyano se llama QHost.WB, y de momento no parece que hace nada más que eso de mandar las búsquedas Google de sus víctimas a un servidor con IP en Amsterdam, quien enseña falsas páginas que se parecen a Google para poder enseñar pop-ups y anuncios – o sea, más basura/malware.
A continuación les pongo la lista de los DNS falsificados de Google, unas fotos y enlace, pero antes de eso quiero hacer una actualización acerca del precedente toryano que ha estado afectando a Mac OS X este año, MacDefender y sus múltiples variaciones, sobre lo cúal ya hablamos aquí, allí y allá.
Desde hace un mes y medio, ya no surgen nuevas variaciones del MacDefender o MacGuard, y según el asesor de seguridad Brian Krebs, la razón de este silencio podría ser la detención por parte de la policia Rusa de un llamado Pavel Vrublevsky el pasado día 23 de junio. Vrublevsky es conocido por ser dueño de una web de farmacos de dudosa fama Rx-Promotion, y co-fundador de un sistema de gestión de pagos online llamado ChronoPay. Este último ha sido vinculado oficialmente al troyano MacDefender, con datos tomados por la policia Rusa cuando la semana pasada, el 27 de julio, registraron las oficinas de ChronoPay, … Así que eso. Es el mundo en el que vivimos. De hecho, por los que quieren seguir enterandose un poco más de cómo funciona, cuáles son las motivaciones o incentivos, al nivel económico por ejemplo, de tanto malware, les cuelgo el siguiente extracto:
“Si se hacen las cuentas, es casi cómo si estuvieras imprimiendo dinero”, dijo McCoy.”Usted puede pagar las redes PPI 75 dólares para obtener 1.000 instalaciones de AV [Anti-Virus] falsos. Y si usted tiene un tipo de conversión promedio de 1/50, cada instalación generando entre $25 – $35, esto nos da un veintena de ventas -o sea, $500 por cada mil instalaciones. Por lo tanto, pagas $75 a alguien, y usted puede esperar conseguir cuatro o cinco veces su inversión. La economía de este mercado es ridículamente rentable, y es fácil ver por qué, al día de hoy, estos falsos anti-virus se han convertido en el método preferido para monetizar los botnets.
Fuente: Krebs on security (aquí traducido por G).
Volviendo al nuevo troyano QHost.WB, aquí dos imágenes enseñando la página taiwanesa de Google con un Mac limpio, y luego con un Mac infectado:
Y aquí les cuelgo la lista de los DNS falsificados por QHost.WB (creo que no falta ni una versión local de Google a través del mundo):
IP fraudulente 91.224.160.26 asignada en /etc/hosts para:
- google.com, google.ae, google.as, google.at, google.az, google.ba, google.be, google.bg, google.bs, google.ca, google.cd, google.com.gh, google.com.hk, google.com.jm, google.com.mx, google.com.my, google.com.na, google.com.nf, google.com.ng, google.ch, google.com.np, google.com.pr, google.com.qa, google.com.sg, google.com.tj, google.com.tw, google.dj, google.de, google.dk, google.dm, google.ee, google.fi, google.fm, google.fr, google.ge, google.gg, google.gm, google.gr, google.ht, google.ie, google.im, google.in, google.it, google.ki, google.la, google.li, google.lv, google.ma, google.ms, google.mu, google.mw, google.nl, google.no, google.nr, google.nu, google.pl, google.pn, google.pt, google.ro, google.ru, google.rw, google.sc, google.se, google.sh, google.si, google.sm, google.sn, google.st, google.tl, google.tm, google.tt, google.us, google.vu, google.ws, google.co.ck, google.co.id, google.co.il, google.co.in, google.co.jp, google.co.kr, google.co.ls, google.co.ma, google.co.nz, google.co.tz, google.co.ug, google.co.uk, google.co.za, google.co.zm, google.com, google.com.af
Fuente: F-Secure (aquí traducido por G), y más detalles aquí.
