Menú principal

martes, 1 de mayo de 2012

OSX/Flsply malware para Mac OS X y Windows en Python

Desde Naked Security informan de un malware multiplataforma, es decir, que afecta a sistemas Microsoft Windows y Mac OS X, que está escrito en Python y que está siendo distribuido activamente a través de sitios web vulnerados. El visitante sólo tiene que navegar por una de estas webs para que un exploit del bug de Java aprovechado por OSX/FlashBack u OSX/SabPab, lance script de instalación de un supuesto Flash Player.

Este programa, el dropper, está script en Python. Su nombre es install_flash_player.py, y es el encargado de descargar el resto de los ficheros que utiliza este malware, principalmente un backdoor que permite, como se puede ver en la siguiente sección de código, listar ficheros, ejecutar comandos en el sistema, etcétera.

Figura 1: Código en Python del bacdoor de OSX/Flsply

El backdoor se instala en la ruta /Users/Shared o /Usuarios/Compartido si tienes la instalación en Español, y allí pueden localizarse dos ficheros que puedes eliminar.

Figura 2: Ficheros del malware en un equipo Mac OS X infectado

Lo más curioso es que analizando el código se puede ver cómo están preparando partes para nuevas versiones del malware - esta es la versión A -, como por ejemplo para saltarse los filtros de detección que comiencen a crear las empresas de seguridad.

Figura 3: Código de OSX/Flsply con comentarios para futuras versiones

Para evitar este malware se recomienda tener el software del sistema actualizado, especialmente las versiones de Java, y un antimalware actualizado con protección en tiempo real. El ataque lo hemos podido ver desde Seguridad Apple en bastantes sitios legítimos que han sido comprometidos, tanto visitando el sitio con máquinas Windows como con sistemas Mac OS X.

Aquí tienes un enlace sobre "Cómo saber si hay malware en tu Mac OS X" para ayudaros a revisar el sistema. No obstante, si tenéis un antimalware lo mejor es actualizar su base de datos de firmas y escanear el sistema de manera completa.

2 comentarios:

  1. Y el interprete de Python en sistemas Windows, ¿de dónde sale?

    ¿Muestras? ¿Sitios comprometidos?

    ResponderEliminar
  2. Hola Alberto,

    nosotros lo hemos visto distribuido vía Facebook, y hace uso de un python to exe, por lo que en Windows el dropper se descarga un empaquetado con extensión .exe.

    Saludos!

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares