ChannelBiz

Una vez instalado en la máquina, el troyano Flashback, descubierto por primera vez el pasado mes de septiembre, desactiva el software de seguridad de Mac e instala un código de auto-lanzamiento junto con una librería dinámica, lo que le permite inyectar código en las aplicaciones que lance el usuario. Este código se conecta a un servidor remoto y envía información sobre el Mac infectado a dicho servidor, explica Intego.

La nueva variante de Flashback  infecta los Macs a través de dos vulnerabilidades Java con el fin de evitar la intervención del usuario, asegura Intego en su blog. La actual versión de Java para Mac OS X ya ha parcheado estas vulnerabilidades, por lo que se recomienda a los usuarios que actualicen sus sistemas.

Si esas vulnerabilidades no están disponibles, porque Java se ha actualizado, entonces el troyano intenta un tercer método de instalación, intentando engañar a los usuarios a través de un truco de ingeniería social. El applet muestra un certificado falso alegando que es Apple quien está detrás y como la mayoría de los usuarios no entienden qué significa esto pulsan ‘Continuar’ y terminan instalando el malware.

Finalmente la nueva variante instala un archivo ejecutable en el directorio ‘/tmp’, se aplica permisos de ejecución en el comando ‘chmod’ y después lanza un ejecutable con el comando ‘nohup’, explica Intego en el blog. El troyano Flashback termina activándose sin que el usuario lo sepa.