Menú principal

jueves, 30 de agosto de 2012

{OSX/NetWeirdRC | Wirenet}: Troyano para OS X y Linux

La web de la compañía de antimalware Dr. Web ha publicado la información sobre un nuevo malware al que han bautizado como BackDoor.Wirenet.1 que ha llegado a su base de datos de muestras. Este troyano, una vez analizado, ha resultado ser un malware multiplataforma entre OS X y Linux, focalizado en el robo de contraseñas para enviarlas a un panel de control, usando AES (Advanced Encryption Standard) como sistema de cifrado en la comunicación.

El malware roba las contraseñas que son introducidas a través de los navegadores Opera, Firefox, Chrome y Chromium usando funciones de keylogging, además de robar las passwords almacenadas por programas como ThuderBird, SeaMonkey y Pidgin.

Figura 1: Sección de código para el cifrado con AES y envío de datos al C&C

No se tiene claro aún como se despliega este backdoor, pero una vez instalado, se copia en los directorios de usuario.
- Mac OS X: %home%/WIFIADAPT.app.app
- Linux: в ~/WIFIADAPT
Este malware parece ser el mismo que reportaba Intego, al que bautizaron como OSX/NetWeirdRC, y que fue descubierto vía Virus Total. El malware parece que está siendo vendido en Internet al precio de 60 USD, aunque se desconoce más sobre dónde ha podido ser utilizado. En las pruebas realizadas a esta otra muestra, el fichero se copiaba en /tmp/.lbOOjfsO y no parecía soportar la persistencia al reinicio.

Las muestras de malware que funcionan en sistemas Mac OS X ya no son una novedad, y tras ver la que tenemos hoy en día con el 0day de Java, es más que recomendable que tengas un sistema de antimalware con protección en tiempo real activado en tu Mac OS X. Hoy mismo ha reportado Intego, que por medio del bug CVE-2012-4381 se está desplegando una variedad de OSX/Tsunami, del que ya hablamos en Octubre del año pasado.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares