O OSX/Imuler, um malware especialmente desenvolvido para Mac OS X e que foi descoberto no ano passado, está novamente muito activo e voltou com algumas novidades. Desta vez, ao invés de ser instalado pelo OSX/Revir.A dropper, a nova variante esconde-se dentro dos ficheiros ZIP, mesmo no meio de um conjunto de fotografias aliciantes para o utilizador à espera que o mesmo carregue na aplicação maliciosa.
Esta nova variante é muito semelhante aos antecessores no que diz respeito às comunicações e funcionalidades command-and-control (C&C). (O OSX/Imuler rouba informações permitindo a transmissão de dados pessoais, ficheiros e screenshots para um servidor remoto). O protocolo de rede mantém-se baseado em HTTP e o payload está comprimido com zlib. O domínio C&C que vem hardcoded mudou e foi registado no dia 13 de Fevereiro de 2012 num ISP Chinês. O domínio aponta para o mesmo endereço IP das variantes anteriores, localizado nos Estados Unidos e ainda activo na altura em que estamos a escrever este texto.
Tudo isto indica que a nova variante foi provavelmente lançada para melhorar o mecanismo de infecção.
O OSX/Imuler tem a funcionalidade de carregar ficheiros locais de um modo arbitrário para o servidor remoto. Um ficheiro executável separado chamado CurlUpload e que é descarregado sempre que o malware inicia, é utilizado para levar a cabo esta operação. O executável que havia sido descoberto pela primeira vez no ano passado, mostra algumas linhas de código interessantes revelando que foi inicialmente escrito para Windows e mais tarde recompilado para OSX.
As soluções de segurança ESET (incluindo o ESET Cybersecurity para Mac) detectam esta nova variante como OSX/Imuler.C.
MD5 dos ficheiros analisados:
7dba3a178662e7ff904d12f260f0fff3 (Installer)
9d2462920fdaed5e360875fb0cf8274f (malicious payload))
e00a280ad29440dcaab42ad093bcaafd (uploader module)