Após relatar a presença de um um cavalo de Tróia em cópias do iWork ’09 encontradas em sites de torrent, a Intego divulgou hoje um novo alerta para uma variante da mesma ameaça, encontrada em cópias piratas do Photoshop CS4. Assim como na suíte de produtividade da Apple, ela não infecta os arquivos de instalação do aplicativo, mas os utiliza como disfarce para ser instalada na máquina.
Conhecido como OSX.Trojan.iServices.B, ele está presente no aplicativo de crack que acompanha o instalador. Ao executá-lo, o usuário visualiza uma janela semelhante à screenshot acima, a qual requer a sua senha de administrador para prosseguir. Ele processará o crack do Photoshop para que possa ser usado sem restrições, mas a confirmação da senha serve para a execução de um backdoor instalado na pasta /var/tmp/ com privilégios de super-usuário (root).
Após ser executado com esses privilégios, o executável da ameaça é copiado para pasta /usr/bin/DivX e um item de inicialização é adicionado à pasta /System/Library/StartupItems/DivX, tornando-a capaz de ser executada automaticamente quando o Mac é ligado. A partir daí, ele monitora uma porta TCP randômica e tenta se conectar a dois endereços IP, que podem ser usados para abrir o controle remoto da máquina ou transferir outros pacotes maliciosos.
A Intego alerta novamente que esse cavalo de Tróia apenas afeta usuários descuidados, que não estão atentos a pedidos de acesso feitos por eles. As definições dos seus aplicativos de segurança mais recentes já foram atualizadas, mas é importante tomar cuidado com o o que é oferecido nesses sites duvidosos: ainda hoje, já foram feitos mais de 5 mil downloads do instalador do Photoshop CS4 que contém a ameaça.
