Menú principal

miércoles, 22 de enero de 2014

OSX/Crisis.C: Un malware para OS X llamado Francisco

Dese Intego informan de que vía Virus Total se ha distribuido una nueva muestra de malware detectada para sistemas Mac OS X. Se trata de una nueva variación del malware OSX/Crisis que viene el rootkit Da Vinci de la empresa Hacking Team. Esta pieza de malware es una mutación que venía un fichero llamado "Frantisek", que al final es el nombre de Francisco en los países de la Europa del Este. Como todas las muestras de OSX/Crisis se instala vía dropper que descarga el rootkit y como en las últimas muestras funciona en Mac OS X 10.5, 10.6 y OS X 10.7 Lion, pero crashea en OS X  Mountain Lion y Mavericks.

En la parte referente al dropper parece que Hacking Team ha cambiado un poco el código y el formato del fichero de configuración, ya que según el análisis realizado por Intego ahora utilizar un segmento de código que no aparece en previas muestras, llamado __INITSTUB, que es llamado antes de ejecutarse la función _main del programa, algo que haría que un ingeniero de reversing con poca experiencia pudiera infectarse antes de llegar al main del programa.

Figura 1: Símbolos de OSX/Crisis.C obtenidos con IDA

Según el análisis que han hecho los ingenieros de Intego, cuando OSX/Crisis.C consigue ejecución se oculta en la carpeta del perfil de usuario que está en la ruta ~Library/Preferences, dentro de una falsa aplicación que tiene como nombre del bundle OvzD7xFr.app. Los ficheros que se crean dentro son:
El fichero del backdoor: 8oTHYMCj.XIl (32-bit)
Fichero de configuración : ok20utla.3-B
Extensiones del kernel: Lft2iRjk.7qa (32-bit) y 3ZPYmgGV.TOA (64-bit)
Script de adición: EDr5dvW8.p_w (FAT)
Servicio XPC: GARteYof._Fk (FAT)
Icono TIFF de Preferencias del Sistema.TIFF: q45tyh
Cuando el malware consigue ejecución entonces se crea un LaunchAgent llamado com.apple.mdworker.plist para conseguir las persistencia en el sistema. Al igual que OSX/Crisis.B esta muestra está ofuscada con el packer MPress y aunque tiene pequeños cambios sigue funcionando como las versiones anteriores, tal y como explican en Intego, se oculta a si mismo modificando la aplicación del Monitor de Actividad, toma capturas de pantalla, graba audio y vídeo por la webcam, extrae datos del usuario, su ubicación GPS, se conecta a redes WiFi y sincroniza todos los datos con un panel de control del que recibe las ordenes.

No se sabe muy bien cómo o por donde se está distribuyendo, ya que este tipo de piezas de software suelen usarse para ataques dirigidos, pero merece la pena conocer cómo funcionan estas muestras para estar siempre alerta y mantener el sistema protegido.

1 comentario:

  1. Alguna manera de protegerse de ello? (Algún parche o software que valga la pena instalarse para protegerse de ello?)

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares