La noticia apareció esta semana a través de una entrada en el blog oficial de Kaspersky Lab. Habían descubierto la existencia de una puerta trasera sin cubrir en Mac OS X muy sofisticada. Los investigadores dicen que el malware es capaz de registrar tanto una keystroke (las pulsaciones que se realizan sobre el teclado para luego memorizarlas) como datos de audio o vídeo, además de la posibilidad de operar en los principales sistemas operativos.
Lo que descubrieron desde Kaspersky fue la existencia de Backdoor.OSX.Mokes, una variante basada en el sistema operativo de Mac del malware Mokes que ya habían descubierto en el mes de enero. No solo eso, los expertos de la compañía han explicado que el código malicioso ahora es capaz de operar en los principales plataformas como Windows y Linux, además de Mac.
Este nuevo malware está escrito en C++ haciendo uso del framework multiplataforma QT y enlazada a OpenSSL. Cuando se ejecuta por primera vez, el código malicioso se copia en una variedad de ubicaciones de la biblioteca del sistema, ocultándose en las carpetas pertenecientes a aplicaciones y servicios como Skype, Google, Firefox o la App Store de Apple. El malware entonces es capaz de manipular el PC y de conectarse al servidor C&C utilizando HTTP en el puerto TCP 80.
Según explican en el blog, está puerta trasera puede robar una amplia variedad de información en un equipo objetivo. El código malicioso no solo captura la actividad en pantalla cada 30 segundos, también es capaz de detectar y monitorizar el almacenamiento extraíble que tenga el usuario, grabaciones de vídeo o audio e incluso los posibles documentos de Office (aquellos que sean .xls, .xlsx, .doc y .docx), además de registrar keystrokes.
El malware también es capaz de ejecutar código arbitrario en los ordenadores Mac, lo que le da la capacidad de manipular a un equipo comprometido. Además, desde Kaspersky explican que el atacante, a través del servidor C&C, es capaz de definir sus propios filtros sobre la manera en la que el malware debe espiar a su víctima y ejecutar comandos adicionales si así lo desea. Como colofón, Mokes utiliza el cifrado avanzado AES-256-CBC para comunicarse con su servidor y así ocultar sus actividades.
Por último y según Kaspersky, aún no se sabe hasta dónde ha llegado este software malicioso, su alcance, o la cantidad de riesgo al que están sujetos en estos momentos los usuarios de Mac.