El troyano OSX.Bella descubrió la instalación de puertas traseras en Mac
Los investigadores de seguridad han descubierto una parte desagradable de malware Mac similar a Troyano OSX.Dok, que puede omitir la función GateKeeper de Apple.
El nuevo error, denominado OSX.Bella, se comporta y se distribuye de una manera completamente diferente a OSX.Dok. Pero una vez instalado, ejecuta un script que es igualmente dañino.
Descubierto por El investigador de Malwarebytes Adam Thomas, el nuevo error usa el mismo método de instalación de OSX.Dok haciéndose pasar por un documento. Una vez que una máquina está infectada, el error instala una puerta trasera de código abierto llamada Bella.
El malware OSX.Bella Mac
Esta variante de malware de Mac también copia /Users/Shared/AppStore.app y muestra una alerta que dice que la aplicación está dañada. En lugar de inutilizar su Mac al mostrar una actualización de la aplicación en pantalla completa que lo obliga a cambiar su contraseña de administrador, OSX.Bella simplemente se cierra y se borra después de un minuto más o menos.
Si bien el malware no parece insidioso desde el exterior, el script de Python que ejecuta detrás de escena posee algunas capacidades aterradoras. Los investigadores descubrieron que el script de Bella puede acceder a las transcripciones de iMessage, infiltrarse en Find My iPhone, falsificar contraseñas, capturar datos de su micrófono y cámara FaceTime y capturar capturas de pantalla.
OSX.Bella podría resultar paralizante para las empresas. El troyano puede filtrar una gran cantidad de datos confidenciales de la empresa, incluidas contraseñas, certificados de firma de código y ubicaciones de hardware.
La buena noticia es que el certificado de firma de código para OSX.Bella ya ha sido revocado, por lo que no puede infectarse con él ahora. Sin embargo, su Mac podría haberse infectado en el pasado. Si es así, Malwarebytes recomienda cambiar todas sus contraseñas.