WeLiveSecurity

Alerta aos usuários da plataforma Mac: O malware OSX/Imuler, descoberto no ano passado, que atua roubando informações do sistema operacional, volta a ter evidência. Desta vez, ao invés de ser instalado pelo OSX/Revir.A, a nova variante do OSX/Imuler se esconde em um arquivo ZIP, dentro de uma pasta de imagens eróticas, esperando que o usuário abra o aplicativo malicioso.

A nova variante é muito similar às anteriores em termos de comunicação de comando e controle (C&C) e funcionalidades (o OSX/Imuler rouba informações que podem coletar e transmitir arquivos, capturas de tela, e outros dados para um servidor remoto). O protocolo de rede ainda é baseado em HTTP e o volume de dados transmitidos (payload) é compactado utilizando o zlib. Está sendo utilizado um novo domínio para comando e controle, registrado em 13 de fevereiro deste ano, através de um escritório de registros web chinês. O domínio aponta para o mesmo endereço IP das variantes anteriores, localizadas nos Estados Unidos e que ainda estão ativas.

Isso tudo parece indicar que a nova variante foi criada para reforçar sua evasão aos antivírus.

O OSX/Imuler tem a funcionalidade de enviar arquivos locais do usuário ao servidor do malware. O responsável por essa ação é um arquivo executável chamado CurlUpload, que é baixado do servidor sempre que o malware entra em atividade. Esse arquivo executável, primeiramente detectado no início de 2011, apresenta linhas interessantes em seu código, que sugerem ter sido desenvolvido inicialmente para o Windows e depois recompilado para o OS X:

O ESET Cybersecurity para Mac (software antivirus da ESET específico para a plataforma da Apple) já identifica a nova variante sob o nome OSX/Imuler.C, desde a atualização 6970 do banco de dados de assinaturas de vírus.