Tsunami es una variante de un código malicioso para Linux detectado en 2002 cuyo principal objetivo es reclutar equipos Mac para formar parte de una botnet.
ESET, ha reportado la aparición de una nueva versión del troyano Linux/Tsunami, adaptada para atacar sistemas operativos Mac OS. Se trata de una nueva variante de un código malicioso aparecido en 2002 para sistemas operativos Linux que convierte al equipo en integrante de una botnet utilizada para realizar ataques de DDoS (Denegación Distribuida de Servicios), detectada por ESET Cybersecurity para Mac como OSX/Tsunami.A.
Como su predecesor para Linux, Tsunami contiene una lista de servidores IRC (Internet Relay Chat) y canales a los que intenta conectarse. Cuando se acciona, los equipos infectados pueden atacar páginas webs por medio del envío de grandes cantidades de peticiones que sobrecargan los servidores e impiden su funcionamiento, lo que se conoce como un ataque de Denegación de Servicios Distribuido (DDoS).
“Como anticipamos en nuestro informe Tendencias 2011, el malware dinámico – categoría que integra Tsunami – sería una novedad que estaríamos viendo este año. Se trata de códigos maliciosos que comienzan por infectar el sistema para luego, a través de algún acceso remoto al equipo afectado, permitir al atacante utilizarlo para diversas tareas. Es decir, pasan a formar parte de una botnet, red de PCs zombie, que estará a disposición del cibercriminal para efectuar actividades maliciosas”, aseguró Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.
Además, el troyano abre una puerta trasera en el equipo que puede ser utilizada para la descarga de nuevo malware, la actualización del código de Tsunami o, incluso, el control completo del equipo infectado por parte del ciberatacante.
Hace apenas unas horas se descubrió además una nueva variante de la amenaza que incluye dos nuevas características. Con la actualización, Tsunami tiene también capacidades para replicarse a sí mismo de modo de asegurar su ejecución en el equipo luego de cada reinicio. Además, dispone de información actualizada del servidor remoto al cual reporta.
“De acuerdo a nuestras investigaciones, probablemente se trate de un código malicioso experimental que se encuentra en proceso de evaluación por parte de los desarrolladores. Seguiremos la evolución del caso para mantener informados a los usuarios”, concluyó Bortnik.