Menú principal

jueves, 8 de marzo de 2012

FlashBack.N Trojan simula ser Software Update

Nueva variante de FlashBack Trojan, en esta ocasión con el código N, en la que se ha cambiado de nuevo su comportamiento, dejando claro que los malos están haciendo verdaderos esfuerzos por ampliar el número de víctimas en sus redes.

En esta ocasión, según informa Intego, el malware está siendo distribuido a través de muchos sitios con WordPress infectados, que están siendo utilizados para distribuir Rogue AVs, entre ellos Mac Defender, el Rogue AV que llevó tantos problemas a Apple, lo que parece dejar claro que los creadores son los mismos. En esta ocasión, además de intentar colarse en el sistema por medio de las vulnerabilidades de Java sin parchear, intenta un nuevo truco de ingeniería social en el que pretende solicitar la password del administrador para actualizar el sistemas, como si fuera Software Update.

Figura 1: FlashBack.N Trojan simula ser Software Updates

Este truco está bien traído por los creadores del malware, ya que todos los blogs de seguridad hemos estado recomendando actualizar el software constantemente y muchos usuarios puede que estén más confiados al ser una "actualización de software".

Una vez dentro, instala un fichero en /tmp/Software Update que cuando se ejecuta con la contraseña robada de administrador instala dos ficheros integrados en Safari que son .COAAShipPlotter.png, que es el malware en sí mismo, y .COAAShipPlotter.xsl que es el fichero utilizado para inyectar código en Safari, además del fichero info.plist que también es modificado. Una vez instalado el malware roba credenciales de acceso, pulsaciones de teclado, etc... y los envía a los paneles de control.

Figura 2: Inyección de ficheros en Apple Safari

Si quieres estar seguro que de que no tienes esta versión, puedes revisar el fichero info.plist de Safari y buscar estos ficheros en tu sistema con el comando find. Nosotros te recomendamos que tengas una solución antimalware y que actualices tu software, pero conociendo correctamente cómo funciona. En este artículo te dejamos unos tips para sacar más provecho de Software Update.

1 comentario:

  1. Que bueno que se publican este tipo de cosas, asi estamos advertidos sobre el tipo de trojanos que aparecen y donde los podemos encontrar.

    saludos.

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares