Menú principal

lunes, 13 de febrero de 2012

FlashBack Trojan infecta Mac OS X sin intervenir usuario

FlashBack Trojan es un malware que empezó a explotarse durante el mes de Septiembre de 2011. Recibió el nombre de FlashBack porque utilizaba como gancho para colarse dentro del sistema un truco de ingeniería social, simulando ser el instalador de Adobe Flash para Mac OS X.

Continuó su evolución a lo largo de los meses siguientes, convirtiéndose en un malware mucho más dañino, y en la última versión ha seguido ese proceso.
- FlashBack: Ahora troyaniza Apple Safari
FlashBack.c: Detecta máquinas virtuales y anula XProtect
- FlashBack: Uso de cifrado RC4 con Hashes MD5 del identificador de usuario
- FlashBack.j: Evolución para evitar nueva firma de XProtect
Desde Intego han reportado que las nuevas versiones de FlashBack Trojan están utilizando dos vulnerabilidades de Java para instalarse en equipos Mac OS X con la versión de Java sin actualizar sin ninguna interacción con el usuario.

En noviembre Apple sacó una actualización de seguridad crítica de Java para Mac OS X en la que parcheaba 17 vulnerabilidades. Rápidamente algunas de ellas se hicieron muy populares debido a la facilidad de explotación y su consistencia, como el exploit Java Rhino que saca partido a la vulnerabilidad con CVE-2011-3544 y que fue incluido en Metasploit. Sin embargo, como era de esperar, no tardo mucho en aparecer este exploit en los kits de explotación, para atacar a sistemas sin actualizar. De ahí, a terminar en los paquetes de distribución de malware conocido era un paso, ya que estos se basan en la misma filosofía de los kits de explotación.

Figura 1: Certificado digital autofirmado usado por FlashBack Trojan

Sin embargo, la evolución de FlashBack Trojan no se ha quedado sólo en el uso de los bugs de Java, sino que también ha modificado su comportamiento para, en caso de no estar instalado Java o estar parcheado, engañar al usuario mediante la ejecución de un código autofirmado por un supuesto certificado digital de Apple, como se puede ver en la Figura 1. Sea por el medio que sea, una vez infectado el equipo, el malware se descarga en /tmp, se da permisos de ejecución y se instala.

Para prevenir este tipo de amenazas te recomendamos que compruebes que tu sistema está totalmente actualizado, recuerda que puedes comprobar que tienes la última versión de Java instalada, y que para los usuarios de sistemas operativos Mac OS X Leopard o Mac OS X Tiger, Apple no ofrece ningún parche de seguridad para Java, luego la responsabilidad de defender el sistema es sólo vuestra. Así que tenéis que actualizar manualmente la máquina de Java desde los repositorios oficiales e instalar una solución antimalware para mitigar ne la medida de lo posible estas amenazas.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares