OSX.Backdoor.Quimitchin
✅ OSX.Backdoor.Quimitchin, el malware más discreto para Mac https://t.co/trvzdOsh08 #Apple
— faq-mac (@faqmac) 18 de enero de 2017
OSX.Backdoor.Quimitchin
Ha conseguido ocultarse mas de tes años escondido en librerías obsoletas.
Nuestros pecados nos siguen, viejo malware para empezar el nuevo año,
Desarrollado en Java y PERL, su código es tan enrevesado que ha logrado pasar desapercibido para el soft antimalware.
Instala una aplicación ubicada en en ~/.client y un LaunchAgent en ~/Library/LaunchAgents/com.client.client.plist que busca mantener la aplicación activada siempre. La eliminación de ambos archivos elimina el malware del Mac.
.client es capaz de sacar pantallazos, utilizar la cámara, e incluso realizar un control rudimentario sobre el ordenador además de intentar contactar y conectar con otros dispositivos de la red usando dos scripts de Perl cuyos nombres son macsvc y afpscan.
Borrar los 4 archivos es suficiente para eliminar el OSX.Backdoor.Quimitchin.
Otra solución alternativa consiste en bloquear la IP y el dominio al cual se conecta el programa malicioso, en este caso la IP 99.153.29.240, y el dominio eidk.hopto.org.
Como prevención podemos bloquear, sin estar infectados.
OSX.Backdoor.Quimitchin, los quimitchin eran espías aztecas que se infiltraban en otras tribus. Apple llama a este malware Fruitfly y ha lanzado una actualización que se descargará automáticamente para proteger futuras infecciones.
Configuración del código de OSX.Backdoor.Quimitchin:
<?xml version=»1.0″ encoding=»UTF-8″?>
<!DOCTYPE plist PUBLIC «-//Apple//DTD PLIST 1.0//EN» «http://www.apple.com/DTDs/PropertyList-1.0.dtd»>
<plist version=»1.0″>
<dict>
<key>KeepAlive</key>
<true/>
<key>Label</key>
<string>com.client.client</string>
<key>ProgramArguments</key>
<array>
<string>/Users/xxxx/.client</string>
</array>
<key>RunAtLoad</key>
<true/>
<key>NSUIElement</key>
<string>1</string>
</dict>
</plist>