Menú principal

miércoles, 18 de abril de 2012

Ataques a ONG pro Tibet usan variante de OSX/Sabpab y el bug de Office para mac CVE-2009-0563 para distribuirlo

OSX/Sabpab ha sido descubierto en un honeypot de Kaspersky utilizando un bug de Microsoft Office para mac, en concreto el CVE-2009-0563, para distribuirse en equipos Mac OS X sin parchear.

Figura 1: Información del documento utilizado para explotar el bug

El documento utilizado parece formar parte de los ataques APT contra las ONGs pro-Tibet, ya que ésta versión de OSX/Sabpab está utilizando un fichero .doc llamado 10th March Statemnet relacionado con un discurso del Dalai-Lama sobre el aniversario del levantamiento del pueblo tibetano. Además, ha seguido los mismos pasos que el troyano anterior, denominado Tibet.a y Tibet.c, que primero se distribuyó con un applet malicioso y luego con un documento .doc malicioso.

Figura 2: El documento enviado con el exploit

Lo más curioso es que se ha podido ver cómo el atacante estaba buscando manualmente documentación de la máquina infectada, lo que parece confirmar que este malware está siendo utilizado en un ataque dirigido en el que se está buscando algo en concreto.

Figura 3: Listado de directorios hecho manualmente por el atacante

En el momento de su descubrimiento, según el informe de Kaspersky, el número de detecciones de este malware por los motores de AV en Virus Total era de 0 de 40, por lo que parece que se están esforzando mucho en la evasión del software de antimalware.

Os recordamos que para mantener actualizado Microsoft Office para mac existe un software de Microsoft para mantenerlo actualizado.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares