Un troyano que se disfraza como una actualización del reproductor QuickTime ha sido identificado recientemente. Este troyano expresamente intenta secuestrar nuestras DNS y redireccionar nuestra navgeación hacia zonas “no-deseadas” de la Red.

La última versión de este troyano es el archivo identificado como OSX_JAHLAV.D por Trend Micro, y puede encontrarse por sitios web como comandtryx.com, simplexdoom.com, y sinisteer.com -todos provienen de un servidor con IP 91.214.45.73. Si intentamos reproducir los videos contenidos en estas páginas (la mayoría de temática pornográfica) se nos mostrará un diálogo para instalar una actualización de QuickTime o algún plugin para esta aplicación. Si aceptamos automáticamente se descargará un archivo llamado QuickTimeUpdate.dmg.

Creo que el mensaje en estos casos es claro: no instaléis ese archivo. Si por descuido (o por no leer este blog habitualmente) alguien ejecuta ese *.dmg e instala esa “actualización”, una serie de scripts se instalarán en esa máquina y permitirían a un hacker conectarse en remoto y monitorizar todo lo que hagamos mientras estamos conectados a Internet, y lo que es peor: posiblemente podría obtener algunas de nuestras contraseñas. Además redirecciona las peticiones DNS enviándolas a diferentes páginas de phising y demás sitios inseguros de Internet. Feike Hacquebor -el investigador de Trend Micro- advierte finalmente que si conseguimos cerrar o bloquear las direcciones IP que utilizan esos scripts , pueden redirigirse a otras con suma facilidad.

Insistiremos en este punto: las actualizaciones de software de Apple provienen de Apple, no de parishiltonsextapejamboree.com.

Vía: arstechnica.