Un grupo de piratas informáticos conocidos por haber sido artífices de diversos ataques en el pasado contra la Base Industrial de Defensa de EE.UU., así como a otras importantes empresas del sector, ha comenzado recientemente a utilizar un programa en el que incluyen una puerta trasera (backdoor) para atacar sistemas con OS X.
Los investigadores de seguridad de FireEye ya comentaron el jueves en un blog que el código de puerta trasera fue portado a OS X desde una puerta trasera de Windows que se ha utilizado ampliamente en ataques dirigidos durante los últimos años, después de haber sido actualizado muchas veces en el proceso.
El programa malicioso es apodado XSLCmd y es capaz de abrir un shell inverso para el control y transferencia de archivos además de la instalación de otros programas maliciosos en el ordenador infectado. La variante OS X también puede registrar las pulsaciones de teclado y capturas de pantalla, según los investigadores de FireEye.
Cuando se instala en un Mac este malware se instala en » / Library / Logs / clipboardd » y » HOME / Library / LaunchAgents / clipboardd «. También crea un archivo com.apple.service.clipboardd.plist para asegurar su ejecución después de que el sistema se reinicie. El malware contiene un código que comprueba la versión de OS X, pero no de las versiones por encima de OS X 10.8 (Mountain Lion). Esto sugiere que la versión 10.8 fue o bien la última versión de OS X cuando el programa fue escrito o al menos el más común utilizado para los objetivos previstos.
La puerta trasera XSLCmd fue creada y utilizada por un grupo ciberespionaje que ha estado operando al menos desde 2009 y ha sido apodado GREF por los investigadores de FireEye. «Históricamente, GREF ha dirigido una amplia gama de organizaciones, incluyendo la Base Industrial de Defensa de Estados Unidos (DIB), empresas de electrónica e ingeniería en todo el mundo, así como fundaciones y otras organizaciones no gubernamentales, especialmente aquellos con intereses en Asia».
Según FireEye:
OS X ha ganado popularidad entre las empresas, con usuarios con poca experiencia que se adaptan rápido al nuevo sistema y a quienes les resulta fácil operar con él, incluso a usuarios de alto nivel técnico que utilizan características más potentes, así como con los ejecutivos[…]Muchas personas también consideran que es una plataforma informática más segura, lo que puede conducir a un peligroso sentido de complacencia en los dos departamentos de TI. De hecho, mientras que la industria de la seguridad ha comenzado a ofrecer más productos para sistemas OS X, estos sistemas son a veces menos regulados y supervisados en entornos corporativos que sus homónimos de Windows.
