El mundo creía estar a salvo de la compañía italiana HackingTeam y sus actividades de dudosa legalidad, hackers que desarrollaban malware como un servicio para agencias y gobiernos, tras el hackeo masivo a sus servidores el pasado julio de 2014. Al parecer habría vuelto a las andadas, según el investigador de seguridad en SentinelOne, Pedro Vilaça, luego de encontrar un malware para Mac OS X.

De acuerdo con ArsTechnica, el malware recién identificado fue subido a VirusTotal el pasado 4 de febrero sin ser detectado por los productos antivirus registrados. Hasta ayer lunes, 10 de las 56 soluciones antivirus listadas en la plataforma identificaron al malware, el cual instala una copia de la firma de los Sistemas de Código Remoto de HackingTeam que fueron comprometidos en el hack.

Según el reporte, el instalador del malware fue actualizado por última vez en octubre o noviembre del año pasado, mientras que una clave de cifrado incrustada data del 16 de octubre. Vilaça cree que HackingTeam está detrás de esto y "continúa vivo y coleando, pero siguen siendo los mismos imbéciles de ***** tal y como la filtración de correos electrónicos nos han demostrado".

Para desarrollar el malware se aseguró el esquema de cifrado nativo de Apple para proteger los archivos contenidos en el paquete binario. Los hackers aprovechan que la compañía de Cupertino usa una clave codificada estática que muchos expertos en ingeniería inversa conocen, para el infortunio de Apple y los usuarios de Mac OS X. Por si fuera poco evitaba ser detectado limitando el uso de técnicas de ingeniería inversa y otros análisis.

Se desconoce la forma de distribución del malware y su instalación, aunque se dice que el instalador podría hacerse pasar por un producto software legítimo o quizá se distribuye mediante la explotación de una vulnerabilidad del sistema operativo Mac OS X o alguna aplicación. Además, HackingTeam no necesariamente podría ser responsable de este malware, ya que cualquiera podría haber usado la información filtrada para crear su propio software malicioso.

El usuario de Mac OS X puede verificar si su sistema está infectado accediendo al directorio ~/Library/Preferences/8pHbqThW/ en búsqueda del archivo Bs-V7qIU.cYL. Para hacer frente al malware es necesario instalar algún producto antivirus, actualizar sus definiciones y programar un análisis. Si HackingTeam está detrás de esto, resultará difícil saberlo.

https://www.fayerwayer.com/2016/03/malware-para-mac-os-sugiere-que-hackingteam-habria-regresado/