Menú principal

viernes, 15 de noviembre de 2013

Nueva mutación del malware OSX/Crisis descubierta

Últimamente el mundo de la informática se mueve en un entorno conspiratorio en el que nadie se fía de nadie. Asuntos como el de la NSA y PRISM alertan al gran público sobre si Internet es un Big Brother de los gobiernos. La gente de Apple no se queda al margen de estas sospechas y un nuevo sistema de control remoto, Spyware Hacking Team, aterrizó en Virus Total con una tasa de detección de 0 de 47 escáneres, aunque ahora ya lo detecta alguno.

Figura 1: Actualmente esta nueva mutación es reconocida por un antimalware

Intego descubrió este malware que se instala de manera silenciosa y funciona sobre Mac OS X Snow Leopard 10.6.x y Mac OS X Lion 10.7 . En función de si el malware se instala en una cuenta con permisos de administrador realizará unas acciones u otras. Por ejemplo, si se instala como administrador, ejecutará un rootkit para ocultarse. En cualquier caso, se crean una serie de archivos, el cual especificamos más adelante, los cuales utilizarán para llevar a cabo sus tareas.

Figura 2: Estructura de infección multiplataforma del malware Crisis

Este malware fue bautizado anteriorementecomo OSX/Crisis, y fue utilizado algunos gobiernos en ataques dirigidos. El malware - totalmente multiplataforma - es capaz de recoger audio, imágenes, capturas de pantalla, pulsaciones de teclado y realizar un informe jugoso para el atacante el cual es enviado a un servidor remoto y se hizo popular por poder infectar máquinas virtuales y terminales móviles. Se sabe que se distribuye a través de kits de explotación en el mercado negro.

En el código de OS X/Crisis.A se encuentra una sección dedicada que que hace llamadas de bajo nivel (o al sistema) para desplegar el malware, una backdoor y su configuración cifrada.

Figura 3: Ingeniería Inversa del Malware

Para evitar la detección de antivirus el backdoor se encuentra ofuscado con un packer denominado MPress. Se puede utilizar un debugger como GDB o un framework como Volatility para volcar los binarios desempaquetados. Completar el análisis está siendo algo complejo, pero ya hay extractos en Internet del archivo de configuración descifrados.

Figura 4: Extracto de archivo de configuración descifrado

Como se puede visualizar en la imagen anterior, las máquinas infectadas tienen razones para comunicarse con la dirección IP 176.58.121.242. Si como usuario de OS X sospechas que puedes estar infectado por este tipo de malware, te recomendamos que vigiles la existencia de estos archivos en tu sistema:
  • Library/LaunchAgents/com.apple.UIServerLogin.plist
  • Library/Preferences/2Md1ctl2/0T4Nn2U0.tze
  • Library/Preferences/2Md1ctl2/5KusPre5.vAl
  • Library/Preferences/2Md1ctl2/Contents/Info.plist
  • Library/Preferences/2Md1ctl2/Contents/Resources/9uW_anE9.cIL.kext/Contents/Info.plist
  • Library/Preferences/2Md1ctl2/Contents/Resources/9uW_anE9.cIL.kext/Contents/MacOS/9uW_anE9.cIL
  • Library/Preferences/2Md1ctl2/hFSGY5ih.rfU
  • Library/Preferences/2Md1ctl2/q45tyh
  • Library/Preferences/2Md1ctl2/WaAvsmZW.EMb
  • Library/Scripting Additions/UIServerEvents/Contents/Info.plist
  • Library/Scripting Additions/UIServerEvents/Contents/MacOS/0T4Nn2U0.tze
  • Library/Scripting Additions/UIServerEvents/Contents/Resources/UIServerEvents.r
Recuerda que lo mejor para evitar es este tipo de amenazas es realizar un control preventivo del software de tu equipo Mac OS X, además de tomar hábitos seguros de utilización de tu sistema en Internet.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares