Rubilyn: rootkit capaz de afectar computadoras Mac de 64 bit

Hace algunos días,  un investigador de nullsecurity apodado prdelka, desarrolló a modo de prueba de concepto, un rootkit capaz de funcionar bajo la edición de 64 bit del sistema operativo OS X de Apple. Pese a que este código es capaz de afectar la versión Lion y anteriores de este sistema operativo, no lo hace de forma correcta en Mountain Lion, el integrante más nuevo de la familia OS X. Los rootkit son herramientas diseñadas para  obtener el control de programas, archivos, procesos, puertos, entre otros, de forma completamente oculta. A través de este tipo de aplicaciones, se pueden encubrir procesos maliciosos, archivos infectados para que no figuren en el explorador de ficheros, registros, etc. Asimismo, los rootkit en sí no son malware, sin embargo, muchas amenazas suelen utilizarlos para dificultar su remoción y ocultar su presencia para que el usuario no se percate de la infección.

Detectado por ESET Cybersecurity para Mac como OSX/Rootkit.Rubilyn.A, esta prueba de concepto funciona bajo múltiples versiones del kernel de OS X, otorga privilegios de root (administrador), oculta carpetas, archivos, procesos y puertos de red. Además, es capaz de ejecutar código binario con privilegios de root  a través de un ping ICMP y otorga la posibilidad de utilizar la interfaz sysctl para el control de userland. Rubilyn utiliza las hooks syscall y DKOM (Direct Kernel Object Manipulation) para lograr ocultar dichas actividades del sistema afectado. No funciona correctamente en Mountain Lion debido a que symtab, componente encargado de la resolución de cadenas de símbolos, es destruido durante el inicio de esta versión de OS X.

Existen otros tipos de rootkit que funcionan afectando el funcionamiento de otras partes de la computadora. Por ejemplo, aquellos como Mebroot pertenecen a los denominados bootkit, es decir, herramientas que ocultan algunos comportamientos modificando el sector de arranque (MBR) del disco duro de la PC. Otros, en cambio, afectan el BIOS de la computadora para poder comenzar a encubrir determinados funcionamientos antes de que se empiece a cargar el sistema operativo. Mebromi pertenece a esta última categoría de rootkits.

Aunque por el momento Rubilyn  solo representa una prueba de concepto, es importante que todos los usuarios, sin distinción de la versión del sistema operativo que utilicen, adopten las medidas de seguridad necesarias para poder mantener el equipo protegido de amenazas informáticas. Casos como el troyano Flashback demuestran que los usuarios siguen siendo el eslabón más débil de la cadena de protección de un sistema informático. Por otro lado, existen amenazas como el phishing, scam y otras, que son capaces de funcionar de forma completamente independiente al sistema operativo y dispositivo que la persona utilice. Por lo mismo, la recomendación es adoptar un comportamiento informado y seguro que permita evitar ataques informáticos.

André Goujon
Especialista de Awareness & Research