IWorm

El malware que se dirige a las computadoras Mac se está volviendo cada vez más común cada día. Una de las amenazas que atacan exclusivamente a las máquinas que ejecutan OSX se llama iWorm. Investigadores de ciberseguridad han detectado esta amenaza en 2014. Se ha informado que el malware iWorm ha logrado comprometer alrededor de 18,000 dispositivos en todo el mundo. Esta amenaza es capaz de tomar el control del host infectado y usarlo para diversos fines. Parece que los operadores del malware iWorm lo están utilizando para construir una botnet. Los expertos no están completamente seguros de para qué se usará la botnet, pero es probable que pueda emplearse en ataques DDoS (denegación de servicio distribuida), campañas masivas de correo electrónico no deseado, operaciones de minería de criptomonedas, etc.

Capacidades

Además de poder obtener control sobre el sistema comprometido, el malware iWorm también permite a sus operadores recopilar datos sobre su objetivo. Además, la amenaza iWorm permite a los atacantes ejecutar comandos remotos y recopilar datos sobre el tráfico de red de la víctima. En el caso de un problema con el servidor primario C&C (Comando y Control) al que se conecta el malware iWorm, la amenaza es capaz de cambiar a un servidor C&C alternativo. Para obtener persistencia en el host comprometido, la amenaza iWorm se asegurará de generar un nuevo LaunchDaemon que desencadenará la ejecución de la amenaza cada vez que el usuario reinicie la Mac. La puerta trasera de iWorm puede usar el nombre de archivo 'application.com.JavaW' que tiene la intención de parecer legítimo para el usuario para que no se generen banderas rojas.

Aloja direcciones de servidores C&C en Reddit

El malware iWorm utiliza una infraestructura interesante cuando toma las direcciones de los servidores de C&C de sus operadores. La mayoría de los autores de malware tienden a usar sitios web de terceros como PasteBin o simplemente codifican las direcciones en el código de la amenaza. Sin embargo, los creadores de la puerta trasera iWorm alojan las direcciones de los servidores de C&C en Reddit.com, un sitio web que a menudo se conoce como la página principal de Internet. Las direcciones en cuestión están codificadas y publicadas por un usuario con el apodo 'vtnhiaovyd'. Los autores de la amenaza están disfrazando las direcciones codificadas de los servidores de C&C como IP de servidores de Minecraft. Las cuentas que se han relacionado con la actividad amenazante del malware iWorm han sido prohibidas, pero esto significa que los atacantes se han apoderado de la campaña.

Hasta ahora, parece que las máquinas comprometidas no se han utilizado en operaciones de criptominería o ataques DDoS. Los creadores de la botnet no parecen haber utilizado las computadoras infectadas para ninguna operación todavía. Si desea mantener su máquina a salvo de amenazas como la puerta trasera iWorm, asegúrese de descargar e instalar una herramienta antimalware genuina y no olvide actualizarla regularmente.