Parece que su Mac ha sido comprometido (en el momento de su redacción) para minar bitcoins (./bitcoin-qt.app) probablemente usando el exploit ARDAgent u similar. Los comandos publicados son bastante avanzados, sin embargo muchos de ellos son comandos de copiar y pegar, lo que indica algún pseudo-hacker (con poco conocimiento real) que está tratando de instalar un troyano en su sistema.

Encuentre la explicación para los comandos de historial:

• 1: Eliminación de archivos de la Papelera. Quizás limpiando alguna evidencia después de descargar algo.

• 2-12: Accediendo a la carpeta de Descargas con un poco de dificultad. La mitad de estos comandos están mal escritos, así que tal vez la persona estaba apurada o estresada.

• 13-14: Encontrando todos los archivos que pertenecen a un usuario desconocido (por razón desconocida).

• 15-20: Batallando para acceder a sus contraseñas en KeyChains, pero la mayoría de los comandos están mal escritos. Esto indica muy poco conocimiento sobre cómo usar los comandos básicos de la terminal. Parece que intenta acceder a carpetas como /Library/LaunchAgents, /Library/Automator, /Library/Keychains, pero falla.

• 21: No hay comando sha.

• 22-23: Luchando por ver sus procesos.

• 24-29: Luchando por verificar todos los usuarios del sistema, sin embargo, el indicador de la terminal presente en 25-27 indica que estos comandos fueron copiados y pegados desde algún tutorial de hacking.

• 34-39: Verificando la configuración de red.

• 41: Desactivando las actualizaciones automáticas para las aplicaciones de Google.

• 40, 45: Inicio de sesión en un host remoto.

• 47: Verificando sus extensiones de kernel que no son de Apple.

• 48-49: Verificando los trabajos cargados que no son de Apple. Repetir el mismo comando sin sudo podría indicar que el usuario no tenía acceso de root.

• 51: Verificando los elementos de inicio.

• 57: Desactivar el agente de escritorio remoto. ¿Por qué?

• 71-72: ¿Cómo logró instalar htop usando apt-get en OS X? No lo sé.

• 73-164: Verificando procesos, qué está escuchando en el puerto 80 y el historial de últimos inicios de sesión.

• 165-225: Verificando sus usuarios y archivos nuevamente.

• 228: Indica que la persona proviene de un entorno de Windows, ya que el parámetro /i es inválido.

• 226-237: Repitiendo las mismas cosas una y otra vez.

• 238-480: Limpiando las cachés de DNS.

• 241-259: Ejecutando el cliente de Bitcoin.

• 263-264: Pegando el código en la ventana incorrecta. Debería ser realmente:

  osascript -e 'tell app "ARDAgent" to do shell script "say quack"'

  Lo cual básicamente en una ejecución exitosa de ARDAgent ejecutaría el comando say quack que básicamente dice en voz alta "quack". Esto supone probar si ARDAgent es vulnerable a los ataques, pero probar usando Síntesis de Voz es lo peor que un hacker puede hacer, porque el usuario lo escuchará y se dará cuenta de que algo está mal.

• 265: Probando si check_afp es vulnerable teniendo la bandera SUID.

Su acción fue correcta al desactivar SUID para ARDAgent. Cuando ejecute Utilidad de Disco y Repare los Permisos, automáticamente restaurará los permisos correctos (incluido ARDAgent), a menos que haya sido modificado. La otra cosa es mantener su sistema actualizado y monitorear los registros e historiales con más frecuencia.

Me resulta extremadamente confuso entender exactamente lo que está pasando. Mencionas algo sobre un script que se ejecuta al inicio en tu asunto, pero luego no vuelves a mencionarlo. ¿Qué está pasando allí? ¿Dónde estás encontrando ese script?

Ese script sugeriría que alguien te está gastando una broma, haciendo que tu computadora diga "quack" cada vez que se inicia. Eso no es indicativo de malware.

Por otro lado, un archivo oculto como describes es una táctica común de malware, aunque no estoy seguro de por qué sólo contendría "--purge" - eso no es un comando completo, que yo sepa, y el comando purge no suele ser utilizado con fines maliciosos de todos modos.

Sin embargo, tienes alguna indicación de que estás usando aplicaciones relacionadas con Bitcoin, y ha habido malware de Bitcoin que ha aparecido recientemente. Ver:

Descubierto nuevo malware CoinThief

Nota que el mensaje en MacRumors al que haces referencia en tu segundo mensaje tiene casi seis años, y hace referencia a una vulnerabilidad que fue cerrada más tarde en 2008. Es completamente irrelevante para cualquier sistema moderno.

Publicado por: thomas_r en Comunidades de Soporte de Apple