Menú principal

miércoles, 17 de julio de 2013

Malware para OS X firmado digitalmente usa codificación Right-to-Left y Youtube como redirect al panel de control

La empresa F-Secure ha descubierto en Virus Total un curioso malware para OS X, bautizado como Janicab que utiliza una combinación de características muy curiosas para su distribución y control de las víctimas. En primer lugar hay que citar que según se informa el malware viene firmado digitalmente con un Apple ID de desarrollador, para conseguir ejecución en sistemas OS X Mountain Lion con GateKeeper activado con la opción de ejecutar sólo programas firmados.

Figura 1: Protección de GateKeeper en OS X Mountain Lion para ejecución sólo de apps firmadas

En segundo lugar utiliza codificación Right-to-Left, una sistema que permite en el nombre de un archivo cambiar el sentido de algunas letras del nombre de un archivo para que se visualicen en Finder al contrario. El nombre original en hexadecimal se puede ver en la imagen siguiente.

Figura 2: Nombre de archivo con codificación Right-to-Left

Sin embargo, esto haría que cuando se vieran en Finder apareciera sin extensión - si no se ha activado la visualización de extensiones - mientras que si no se hubiera hecho la codificación Right-to-Left aparecería con la extensión .app, ya que OS X considera que es importante dejar claro que es un ejecutable.

Figura 3: Codificación Right-to-Left (medio) y normal (derecha) en Finder

Al hacer un listado de ficheros en el interfaz de comandos sí que se podría ver que la extensión es distinta a la que se visualiza en Finder, ya que no interpreta la codificación Right-To-Left en la consola de comandos.

Figura 4: Visualización den Bash del archivo con codificación Right-to-Left

Al revisar el fichero, se puede ver que el programa está escrito en Python, y utiliza el framework py2app para su distribución en sistemas OS X.

Figura 5: El Developer ID es Gladys Brady

Al ejecutar la aplicación maliciosa, XProtect aplicará la protección de cuarentena que se aplica a todos los programas descargados de Internet. La curiosidad es que al haberse creado con codificación Right-to-Left, todo el mensaje aparece invertido, haciendo que sea difícil de leerse.

Figura 6: El mensaje se muestra al revés

Una vez ejecutado el malware en el sistema se descarga un fichero PDF desde Internet y es mostrado, para simular realmente que es un fichero de este tipo.

Figura 7: Fichero PDF usado para la ingeniería social

Por debajo mientras crea una carpeta oculta donde mete todos los componentes del malware para capturar pantallas, ficheros de audio y vídeo, entre otras cosas e instala tareas en cron para conseguir la persistencia en el sistema.

Figura 8: Tareas en CRON creadas por el malware

Para saber en qué dirección está su panel de control, utiliza un sistema muy curioso. Se conecta a varios vídeos de Youtube - y a una dirección actualmente desconectada - desde donde parsea la dirección del panel de control. Esta dirección está en la información pública del vídeo.

Figura 9: En la descripción del vídeo se publica la dirección del panel de control del malware

Actualmente ese panel de control está apagado, por lo que la botnet que se hubiera creado parece descabezada.

Figura 10: Panel de control desconectado

Este truco de poner la dirección del panel de control en el mensaje descriptivo del vídeo de Youtube aparece en muchos otros vídeos de Internet.

Figura 11: Más vídeos en otras redes publicando el mismo panel de control

Analizando las estadísticas de estos vídeos se puede saber más o menos cuántos equipos hay infectados con este malware, que como puede verse no parece muy alto.

Figura 12: Estadísticas acumuladas de visitas al vídeo (buscando el panel de control)
Figura 13: Estadísticas diarias de acceso a este vídeo por día

Sea como fuera, ten cuidado con la descarga de aplicaciones desde Internet y ten un antimalware activado con protección en tiempo real. Este malware ya es detectado por los antimalware como Python/Janicab.A. Si quieres conocer más sobre cómo funciona el mundo del e-crime, te recomendamos el libro sobre el Fraude Online.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares