Menú principal

miércoles, 21 de marzo de 2012

Ataque contra ONGs pro-Tibet usa malware para Mac OS X

Desde la empresa de seguridad Alient Vault se ha realizado una investigación sobre ataques dirigidos que se están realizando contra ONGs Tibetanas mediante una campaña de Spam. Estos correos apuntan a servidores que están tratando de explotar la tan citada vulnerabilidad de Java CVE-2011-3544 (a.k.a. exploit Java Rhino) para instalar un troyano en las máquinas de las víctimas.

Para ello se está haciendo uso de servidores maliciosos que comprueban el User-Agent del navegador del cliente para lanzar un Applet Java que ataca directamente esa vulnerabilidad e instalar un troyano. Como se puede ver en el código, si es una máquina Windows se ejecuta el Applet default.jar, mientras que si es Linux o Mac OS X se ejecuta index.jar.

Figura 1: Comprobación de USER-AGENT

Estos Applets, analizados con Virus Total, tienen unos ratios de detección como malware muy pequeños. default.jar es detectado como malicioso en 9 de los motores que utiliza el servicio de Virus Total para escanear las muestras.

Figura 2: Ratio de detección de default.jar según VirusTotal

Por el contrario, es peor en el caso de index.jar para Mac OS X, ya que sólo 5 de 43 motores antivirus lo detectan, no siendo además ninguno de los populares en entornos Mac OS X.

Figura 3: Ratio de detección de este ataque para Mac OS X

Además, una vez ejecutado el exploit, se instala el backdoor con un fichero de nombre file.tmp, al que se ha denominado OSX/Tibet.a, y que en la actualidad es detectado por 0 motores antivirus de los 43 que utiliza el servicio de VirusTotal. Una vez instalado este troyano, se roban datos de las cuentas de usuario y se envían a un servidor remoto controlado. Actualización: Algunos AV ya lo detectan, y ha recibido varios nombres. OSX/Lamadai.a es uno de ellos.

Figura 4: El backdoor para Mac OS X no es detectado por ningún motor

Os recordamos que haciendo uso de las opciones de Software Update puedes comprobar si en tu Mac OS X está instalada la última versión de Java para Mac OS X, y si no es así, actualizarla inmediatamente. Os recordamos que las últimas vulnerabilidades de Java también están siendo usadas en Kits de Explotación y por el malware OSX/FlashBack Trojan.

1 comentario:

  1. Anonymous ya se desvio completamente del camino me parece. Viene atacando a la gente equivocada desde hace ya un mes.

    ResponderEliminar

Entrada destacada

En el futuro iPhone podrá recopilar biometría y fotos de los ladrones

Apple ha obtenido una patente el pasado jueves en la que se describe un método de almacenamiento de datos biométricos de un usuario no...

Otras historias relacionadas

Entradas populares