Intego y F-Secure han advertido sobre la propagación de un nuevo troyano para Mac OS X que se caracteriza por esconderse si detecta que el sistema operativo se ejecuta sobre una plataforma virtual de VMware.

Las maquinas virtuales son un recurso muy utilizado por investigadores de seguridad para analizar códigos maliciosos en entorno seguros. Y precisamente, este malware, que es una variante del troyano Flashback y se distribuye simulando ser una actualización de Flash Player, verifica primero si el usuario está utilizando VMware Fusion, y si lo está, evita su ejecución para no ser detectado.

Si bien esta característica no es nada nueva, pues en Windows este tipo de malware llevan años, es la primera vez que se identifica un troyano para Mac con técnicas de anti-virtualización, lo que demuestra que los cibercriminales también empiezan a utilizar métodos muy sofisticados para propagar amenazas en la plataforma de Apple.

Otra particularidad de esta variante de Flashback es que ya no se instala en una carpeta de rápido acceso como “Library”, sino que ahora instala una puerta trasera en una carpeta del sistema asociada con Safari, que en caso de borrar los archivos, provoca que el navegador deje de funcionar.