Hace apenas una semana anunciábamos la aparición de una amenaza de malware que sólo afectaba a sistemas Microsoft Windows. Hasta ahora esto es algo normal y cotidiano, mucha gente piensa que los virus que se crean y abundan por Internet sólo afectan al sistema de los de Redmon, pero a partir de hoy tendrán que empezar a cambiar su forma de pensar.

La empresa Kaspersky Labs ha detectado la aparición de un virus keylogger llamado Ventir que afecta a los sistemas Mac OSx, un sistema que hasta ahora se creía seguro y libre de amenazas al igual que se creía de los sistemas Linux, pero gracias a la proliferación de usuarios de ambos sistemas debido a los nuevos smartphones de última generación, los cyber-delincuentes han comenzado a crear nuevas y cada vez más efectivas amenazas..

El virus está generado con un formato modular que recuerda mucho al troyano Morcut (también conocido como Crisis) y actualmente incorpora dos módulos que permiten que pueda ser actualizado con nuevas funciones para modificar o ampliar las tareas que ejecuta en los equipos infectados o mejorar las existentes para hacerlas más efectivas. Una vez el malware es descargado en un ordenador, comprueba si el usuario que se está ejecutando dispone de permisos de administrador para poder instalarse como un servicio y ser totalmente autónomo, en caso de que no los disponga, agregará una entrada en el kernel del sistema operativo para poder operar a su antojo.

En cuanto el virus se ha inicializado, comienza  a recabar la información que el usuario introduzca a través del teclado mediante su función keylogger, que es el sistema por el cual todas las teclas que se pulsan son anotadas en un fichero o base de datos para posteriormente ser enviadas al creador del programa y poder así acceder a contraseñas de servicios online como redes sociales, cuentas de correo e incluso cuentas bancarias.

Para saber si hemos sido víctimas de la infección de Ventir, podemos comprobar la existencia de algunos de los ficheros que crea e instala en el sistema operativo:

  1. Library/.local/updated, que lanza de nuevo los ficheros updated y EventMonitor si por algún motivo se han dejado de ejecutar.
  2. Library/.local/reweb, que sirve para reiniciar el fichero updated.
  3. Library/.local/update, un módulo de backdoor.
  4. Library/.local/libweb.db, el fichero de base de datos del programa malicioso. Contiene la configuración global del troyano, por ejemplo, la dirección del servidor de administración.
  5. Library/LaunchAgents (o LaunchDaemons)/com.updated.launchagent.plist, un fichero de características que se usa para instalar el fichero Library/.local/updated en la ejecución automática mediante el daemon launchd.
  6. Dependiendo de la presencia de privilegios de superusuario: A) si los tiene, lo hace en /Library/.local/kext.tar. A continuación, el archivo se descomprime a sí mismo, extrayendo los siguientes ficheros:

    B) si no los tiene, lo hace en ~/Library/.local/EventMonitor. Es un agente que hace un seguimiento del nombre de la ventana activa y de las pulsaciones, y las anota en el fichero Library/.local/.logfile.

    • updated.kext, el driver que intercepta las teclas que pulsa el usuario;
    • Keymap.plist, un mapa de las correspondencias entre teclas y sus valores;
    • EventMonitor, un agente que lleva un registro de las teclas pulsadas, así como los eventos del sistema, anotándolos en el fichero Library/.local/.logfile.
En caso de detectar alguno de los ficheros maliciosos en nuestro sistema, podemos hacer uso de la guía que la empresa de seguridad informática Sophos publicó de como eliminar troyanos en sistemas MacOsX.

Esperamos que los usuarios de ordenadores Apple, comiencen a ser conscientes del peligro que hay y que también pueden ser víctimas de todo tipo de amenazas de las muchas que corren por la red.