A diferencia de los malware especialmente diseñados o específicamente desarrollado para aprovechar la plataforma del sistema operativo Windows, los atacantes cibernéticos han comenzado a crear el malware multiplataforma para una explotación más amplia.
Debido al aumento de la popularidad de Mac OS X y otras alternativas de escritorio de Windows, los hackers han comenzado a diseñar el malware para una amplia distribución. Malware maliciosos multiplataforma está cargado con cargas útiles y componentes especializados, lo que permite que se ejecute en múltiples plataformas. Una de estas familias de malware ha sido recientemente descubierta por los investigadores de Kaspersky Lab, que funciona con todos los sistemas operativos principales, incluyendo Windows, Linux y Mac OS X.
Stefan Ortloff, un investigador de Kaspersky Lab (Investigación Global) y equipo de análisis, descubrió por primera vez las variantes de Linux y Windows de esta familia de puerta trasera multi-plataforma, apodado Mokes, en enero de este año. Ahora, confirmó el investigador la existencia de un OS X variante de esta familia de malware, que explica un fallo técnico de la puerta trasera en un post en securelist; al igual que el Linux y las variantes de Windows, OS X la variante de puerta trasera, Backdoor.OSX.Mokes.a, está especializado en la captura de audio y vídeo, la obtención de las pulsaciones de teclado así como realizar capturas de pantalla cada 30 segundos de la máquina de la víctima.
La variante está escrita en C++ usando Qt, un marco de aplicación multiplataforma que ampliamente se utiliza para desarrollar aplicaciones para ejecutarse en varias plataformas de software y hardware. La puerta trasera también tiene la capacidad para controlar el almacenamiento extraíble como cuando una unidad USB se conecta o se elimina de la computadora.
También puede escanear el sistema de archivos para documentos de Office, incluyendo .docx, .doc, .xlsx y .xls. La puerta trasera OS X también puede ejecutar comandos arbitrarios en el ordenador de la víctima desde su servidor (C & C) de mando y control. La puerta trasera establece una conexión cifrada con su mando y de control de servidor y se comunica mediante el cifrado AES-256, que se considera que es un algoritmo de cifrado seguro.
Stefan Ortloff señala, justo después de su ejecución, la muestra OS X analizó copia a sí mismo a un puñado de lugares, incluyendo los cachés que pertenecen a Skype, Dropbox, Google y Firefox. Este comportamiento es similar a la variante de Linux que la propia copia en lugares pertenecientes a Dropbox y Firefox después de la ejecución.
El investigador no ha atribuido la familia de puerta trasera Mokes a ningún grupo de hackers, ni detallada sobre el OS X de puerta trasera su vector de infección y lo extendida que está. Sin embargo, con la información disponible actualmente, la puerta trasera parece ser una sofisticada pieza de malware.