Menú principal

miércoles, 25 de julio de 2012

Descubierto nuevo malware para Mac OS X: OSX/Crisis

La compañía Intego ha reportado el descubrimiento de un nuevo malware para Mac OS X 10.6 Snow Leopard y Mac OS X 10.7 Lion, localizado en el repositorio de Virus Total. La pieza de malware está formada por un dropper y un backdoor, descargado por este primero, a los que han bautizado como OSX/Crisis y Backdoor:OSX/Crisis

Como no ha sido descubierta activamente, no se conoce el modo de distribución que se está utilizando, y puede ser realizado mediante un binding con otros programas de instalación o usando exploits con kit de explotación habituales.

El dropper, una vez instalado, crea una serie de carpetas, dependiendo de si se ejecuta con permisos de administrador o no en el sistema, de las que algunas son con nombres aleatorios, y otras con nombres fijos, como son:
/Library/ScriptingAdditions/appleHID/
/System/Library/Frameworks/Foundation.framework/XPCServices/
La última de estas carpetas se crea sólo si el malware consigue permisos de administración, con el objeto de lograr la persistencia en el sistema frente a reinicio del sistema.

Figura 1: Llamadas al sistema realizadas por OSX_Crisis

El malware, según parece, utiliza sistemas de ofuscación para dificultar las tareas de ingeniería inversa por parte de los analistas, y se conecta a una dirección IP fija cada 5 minutos, 176.58.100.37, lo que hace suponer que se ha estado probando allí o controlando desde esta dirección. Esperaremos a ver más resultados de este análisis y a ver si se publican los hashes de las piezas de software para poder ver resultados de otros analistas.

1 comentario:

  1. ¿Estais seguros de esas carpetas? Son las que dan en Intego, pero buscando un poco más por internet nombran una subcarpeta de XPCServices, en concreto...

    /System/Library/Frameworks/Foundation.framework/XPCServices/com.apple.mdworker_server.xpc

    Me da que XPCServices no tienen nada que ver con el virus, al menos en mi OSX existe :-(

    ResponderEliminar

Entrada destacada

Ya puedes ver la presentación de Apple en BlackHat USA 2016

Ya se ha publicado el vídeo de la presentación que Apple hizo en la conferencia Black Hat USA 2016 , donde de forma inesperada Apple anunc...

Otras historias relacionadas

Entradas populares