Pplware

Dois Trojans novos para Mac

A segurança dos sistemas baseados em Unix, é um factor favorável para todos os utilizadores. Mas como sempre digo, a segurança de um computador depende do seu utilizador. Que o digam os utilizadores de Mac que foram surpreendidos por dois trojans num espaço de uma semana.

Ambos os trojans vieram em duas versões pirateadas de software para Mac, disponíveis na rede BitTorrent. O primeiro foi detectado numa versão do iWork ’09, o espécime denominado “OSX.Trojan.iServices.A”. encontra-se alojado num pacote extra denominado iWorkServices.pkg.

Assim que o utilizador se autentica com a sua password para instalar o software, o trojan instala-se como um processo que corre inicialmente no arranque do sistema, no directório /System/Library/StartupItems/iWorkServices, uma área apenas reservada para ficheiros de sistema do MacOS, dando-lhe permissões de escrita, leitura, execução como root (o utilizador máximo com todos os privilégios).

Depois disto, este processo, estabelece uma ligação para um servidor remoto, de modo a criar uma backdoor, para que qualquer utilizador mal intencionado, tome controle do sistema.

A segunda ameaça foi detectada numa versão do Photoshop CS4. Este trojan designado por “OSX.Trojan.iServices.B” é uma variante mais sofisticada da encontrada no iWork ’09, e vem incluída num ficheiro de instalação denominado “Adobe CS4 Crack”.

Quanto o utilizador corre a alegada versão para “Crackar”, é instalada uma backdoor no directório /var/tmp, sob um ficheiro com um nome gerado aleatoriamente. Esta artimanha faz com que o trojan seja difícil de identificar e remover.

De seguida este programa pede ao utilizador um utilizador e respectiva password com privilégios de administração, que serve para instalar um processo de arranque do sistema em /System/Library/StartupItems/DivX com privilégios de root. Assim que a máquina for reiniciada e este processo é lançado, e gera uma hash da password de root, podendo transmiti-la para o autor deste trojan.

Para quem tenha sido afectado, pode fazer download de uma ferramenta de remoção de trojans para remover o do iWork’09, do site de segurança SecureMac. Para o Photoshop ainda não existe ferramenta de remoção dessa ameaça, na altura em que este artigo foi escrito, mas tudo leva a crer que a solução sairá no mesmo site.

Os autores de trojans, começam a tentar penetrar a segurança do MacOSX usando fórmulas muito semelhantes que há anos são usadas em Windows.

Conclusão a tirar disto tudo, todo o cuidado é pouco, e sempre que possível deve-se descarregar ficheiros de fontes credíveis.

É aceitável que nem todas as pessoas tenham poder financeiro para adquirir uma licença do Photoshop por exemplo, mas existem sempre alternativas pagas mais económicas ou mesmo gratuitas, que podem ser descarregadas dos próprios sites dos autores (sendo por si só uma fonte de segurança muito maior).

Fonte: Arstechnica, ver aqui também. Homepage: Site SecureMac

Exit mobile version