O OSX/Imuler, um malware especialmente desenvolvido para Mac OS X e que foi descoberto no ano passado, está novamente muito activo e voltou com algumas novidades. Desta vez, ao invés de ser instalado pelo OSX/Revir.A dropper, a nova variante esconde-se dentro dos ficheiros ZIP, mesmo no meio de um conjunto de fotografias aliciantes para o utilizador à espera que o mesmo carregue na aplicação maliciosa.

Esta nova variante é muito semelhante aos antecessores no que diz respeito às comunicações e funcionalidades command-and-control (C&C). (O OSX/Imuler rouba informações permitindo a transmissão de dados pessoais, ficheiros e screenshots para um servidor remoto). O protocolo de rede mantém-se baseado em HTTP e o payload está comprimido com zlib. O domínio C&C que vem hardcoded mudou e foi registado no dia 13 de Fevereiro de 2012 num ISP Chinês. O domínio aponta para o mesmo endereço IP das variantes anteriores, localizado nos Estados Unidos e ainda activo na altura em que estamos a escrever este texto.

Tudo isto indica que a nova variante foi provavelmente lançada para melhorar o mecanismo de infecção.

O OSX/Imuler tem a funcionalidade de carregar ficheiros locais de um modo arbitrário para o servidor remoto. Um ficheiro executável separado chamado CurlUpload e que é descarregado sempre que o malware inicia, é utilizado para levar a cabo esta operação. O executável que havia sido descoberto pela primeira vez no ano passado, mostra algumas linhas de código interessantes revelando que foi inicialmente escrito para Windows e mais tarde recompilado para OSX.

As soluções de segurança ESET (incluindo o ESET Cybersecurity para Mac) detectam esta nova variante como OSX/Imuler.C.

MD5 dos ficheiros analisados:

7dba3a178662e7ff904d12f260f0fff3 (Installer)

9d2462920fdaed5e360875fb0cf8274f  (malicious payload))

e00a280ad29440dcaab42ad093bcaafd  (uploader module)

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*