Menú principal

viernes, 27 de julio de 2012

OSX/Crisis - OSX/Morcut: Más información desvelada

Hace un par de días tuvimos la primera noticia de la aparición de un nuevo malware para plataformas Mac OS X, al que se denominó OSX/Crisis. Hoy ya son varios los ingenieros que han realizado análisis del "bicho" y se dispone de más información al respecto, que vamos a intentar recoger en este artículo.

La vía de infección

Inicialmente el malware fue descubierto a través de Virus Total por Intego, pero la firma Sophos también ha publicado información sobre el mismo, al que ha denominado como OSX/Morcut. Tras unos primeros análisis de Intego, parece que el malware utiliza un Applet Java que simula ser un plugin de Adobe Flash. Los nombres concretos de los ficheros descubiertos hasta ahora son Adobe.jar y AdobeFlashPlayer.jar.

Figura 1: El Apple no firmado que se lanza

Una vez se arranca, utiliza técnicas de ingeniería social para conseguir que el usuario acepte la ejecución del mismo, donde se lanza un programa llamado WebEnhacer que genera una alerta de seguridad por no venir firmado por una fuente de confianza. Algo que el usuario debería tener en cuenta.

Figura 2: La comprobación del sistema operativo en WebEnhancer

Una vez ejecutado, el malware comprueba si está sobre un sistema Mac OS X o Windows, para lanzar la descarga de un backdoor u otro e infectar convenientemente cada sistema. Además, para hacer más complicada su detección, modifica el Monitor de Actividad del sistema

El ataque dirigido

En las últimas horas se ha sabido que el troyano fue subido a Virus Total por la empresa DefensiveLabs, en nombre de un periodista marroquí, que parece que fue víctima de una ataque dirigido contra periodistas críticos con el gobierno que tuvieron su importancia durante la pasada "Primavera Árabe". Esa es la razón por la que apareció en Virus Total el malware original. El ataque no se hizo por medio de un Applet Java, sino por medio de un documento en formato Word, titulado scandal.doc.

Las acciones en el sistema

Este malware viene con un backdoor y un módulo de kernel que le ayuda a esconderse dentro del sistema. Una vez allí, el programa infecta aplicaciones como Adium, Skype, Microsoft Messenger y Firefox, entre otras, para monitorizar todo tipo de acciones.
- Espía conversaciones de Skype y graba todas las llamadas
- Espía Firefox y Safari, donde hace screenshots y graba todas las URLs
- Graba conversaciones de MS Messenger y Adium
- Envía ficheros con toda la información al servidor
Además de todas esas acciones, es capaz de activar la webcam y grabar a las personas, ejecutar programas en el sistema, grabar los keystrokes, etcétera, lo que lo convierten en una solución muy profesional.

Quién está detrás

Según parece, este es un kit comercial de malware que se vende a gobiernos y empresas para realizar espionaje de sistemas. El software tiene por nombre Remote Control System DaVinci - dejando una referencia a la película Hackers -, y según Intego se podría comprar por unos 200.000 €, lo que deja fuera de juego a script kiddies.

Todas las compañías antimalware ya están sacando firmas para este nuevo troyano, así que si tienes una solución profesional en tu Mac OS X, solo deberás actualizar la base de datos de firmas.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares