Troyano para Mac OSX in the wild

Según leo en ISC varias compañias han reportado un troyano que cambia la configuración de DNS en sistemas Mac OSX (OSX.RSPlug.A Trojan). Luego, a través de un script en Perl recolecta cierta información sobre el equipo atacado y la envía a un C&C (Centro y Control de una Botnet).

La forma de llegar al usuario es el clásico mensaje de ingeniería social.

Quicktime Player is unable to play movie file.
Please click here to download new version of codec.

Como la misma gente de ISC dice, los atacantes ya se comenzaron a tomar más en serio sus desarrollos para otros sistemas operativos. Veamos como reaccionan los usuarios de Mac ante esa invitación a descargar un supuesto codec de video para ver películas pornográficas.

Como dice Bernardo en Hispasec, "no se trata de un sitio aislado, sino que es un ataque distribuido que se ha tomado en serio a los usuarios de Mac como potencial objetivo del fraude online. El troyano modifica la configuración DNS del sistema para apuntar a servidores de los atacantes y poder realizar pharming, por ejemplo redirigir determinadas direcciones a sitios de phishings".

Fuentes:
http://isc.sans.org/diary.html?storyid=3595
http://www.intego.com/news/ism0705.asp
http://www.bleedingthreats.net/index.php/2007/11/01/sig-for-the-new-mac-trojan/
http://www.hispasec.com/unaaldia/3295/
http://blog.hispasec.com/laboratorio/250
http://noticiastech.com/wordpress/?p=9824

cfb