Adware Pirrit de Windows se traslada a OS X via Qt Framework


Pirrit para OS X puede hacer más daño de lo que se piensa




Una variante de un antiguo adware que infesta los equipos Windows desde septiembre del 2014 ahora se ha detectado que infecta también a los usuarios de Mac, contaminando su tráfico Web con todo tipo de anuncios e incluso tiene las capacidades técnicas para hacer más daño si lo desea.

El investigador de seguridad de Cybereason Amit Serper ha analizado OSX/Pirrit, y mientras no le impresionó al principio y consideró que el malware era el trabajo de un programador principiante, sin embargo, descubrió más tarde que Pirrit era más peligroso de lo que él pensaba.

Mientras que aún se desconoce como es que infecta una computadora de un usuario de Mac, el investigador logró tener en sus manos un binario para analizar cómo funcionaba la amenaza.

Pirrit fue codificado en Qt por un "fan de Linux"

La versión para Mac de Pirrit se ha escrito usando Qt Framework, que permite a un programador escribir aplicaciones que funcionen en Mac, Linux y Windows desde la misma base de código.

Según el análisis de Serper, tan pronto como el usuario ejecuta el binariocon Pirrit, el malware pasará por una serie de pasos. Lo primero que realiza es generar un nombre al azar de la aplicación, nombre de la empresa y nombre de usuario basado en una lista de palabras de diccionario.

Pirrit utiliza esta cadena de nombre de usuario al azar para configurar a un usuario oculto en Mac infectado, que se esconde con un truco ingenioso, tanto desde la pantalla de login de Mac para los usuarios como en la sección de configuración de los grupos. Esto se hace dando al usuario oculto la identificación numérica 401, y luego configura la Mac del usuario para ocultar todos los usuarios con un ID por debajo de 500.

Pirrit utiliza el filtro de paquetes de Mac para redirigir el tráfico a un proxy local.


Una vez que esto se ha hecho, Pirrit utiliza una función "pf" en Mac (filtro de paquetes) utilidad para secuestrar el tráfico Web mediante el puerto 80 del usuario redirigiéndolo a un proxy local que se ejecuta en el puerto 9882.

Todo el tráfico de Internet de la Mac se redirige a este proxy, excepto el tráfico que se origina desde el usuario oculto, con el fin de evitar bucles de redirección.

El adware entonces analizará las conexiones de datos del usuario, inyectará anuncios dentro de las páginas web, enviará los datos de su análisis al propietario del software malicioso, e incluso cambiará la página de inicio de algunos de los navegadores locales a sitios como trovi.com o search-quick.com.

Aquí es donde los nombres de las aplicaciones al azar y los nombres de compañías entran en acción, ya que el proxy se instala bajo el nombre de la aplicación elegida al azar, en una carpeta que utiliza el nombre de la empresa al azar, para que se vea como una aplicación más legítima.

Pirrit se ejecuta con privilegios de root cada vez que inicie su Mac

Una vez que se configure la cuenta de usuario oculto, el proxy se instala y el tráfico será redirigido, el último paso es que el software malicioso añadirá un LaunchDaemon al Mac infectado, para asegurarse de que todos estos servicios se ejecutan en el dispositivo, con privilegios de root.

"Si bien este programa sólo ofrece anuncios en el navegador, hace uso de la ingeniería social para obtener una escalada de privilegios y, finalmente, tomar el control total de la máquina", explica Mr. Serper. "Y con el control total del ordenador, los atacantes pueden hacer más que bombardear con anuncios el ordenador."


Esto incluye la instalación de keyloggers, troyanos bancarios, robo de archivos personales, y todo lo que ellos deseen. La buena noticia es que el investigador creo un script shell que puede eliminar Pirrit de las Macs infectadas. Los scripts tienen que ejecutarse como root.



Fuente: Softpedia