Menú principal

miércoles, 21 de marzo de 2012

Ataque contra ONGs pro-Tibet usa malware para Mac OS X

Desde la empresa de seguridad Alient Vault se ha realizado una investigación sobre ataques dirigidos que se están realizando contra ONGs Tibetanas mediante una campaña de Spam. Estos correos apuntan a servidores que están tratando de explotar la tan citada vulnerabilidad de Java CVE-2011-3544 (a.k.a. exploit Java Rhino) para instalar un troyano en las máquinas de las víctimas.

Para ello se está haciendo uso de servidores maliciosos que comprueban el User-Agent del navegador del cliente para lanzar un Applet Java que ataca directamente esa vulnerabilidad e instalar un troyano. Como se puede ver en el código, si es una máquina Windows se ejecuta el Applet default.jar, mientras que si es Linux o Mac OS X se ejecuta index.jar.

Figura 1: Comprobación de USER-AGENT

Estos Applets, analizados con Virus Total, tienen unos ratios de detección como malware muy pequeños. default.jar es detectado como malicioso en 9 de los motores que utiliza el servicio de Virus Total para escanear las muestras.

Figura 2: Ratio de detección de default.jar según VirusTotal

Por el contrario, es peor en el caso de index.jar para Mac OS X, ya que sólo 5 de 43 motores antivirus lo detectan, no siendo además ninguno de los populares en entornos Mac OS X.

Figura 3: Ratio de detección de este ataque para Mac OS X

Además, una vez ejecutado el exploit, se instala el backdoor con un fichero de nombre file.tmp, al que se ha denominado OSX/Tibet.a, y que en la actualidad es detectado por 0 motores antivirus de los 43 que utiliza el servicio de VirusTotal. Una vez instalado este troyano, se roban datos de las cuentas de usuario y se envían a un servidor remoto controlado. Actualización: Algunos AV ya lo detectan, y ha recibido varios nombres. OSX/Lamadai.a es uno de ellos.

Figura 4: El backdoor para Mac OS X no es detectado por ningún motor

Os recordamos que haciendo uso de las opciones de Software Update puedes comprobar si en tu Mac OS X está instalada la última versión de Java para Mac OS X, y si no es así, actualizarla inmediatamente. Os recordamos que las últimas vulnerabilidades de Java también están siendo usadas en Kits de Explotación y por el malware OSX/FlashBack Trojan.

1 comentario:

  1. Anonymous ya se desvio completamente del camino me parece. Viene atacando a la gente equivocada desde hace ya un mes.

    ResponderEliminar

Artículos relacionados

Otras historias relacionadas

Entradas populares