Menú principal

domingo, 9 de febrero de 2014

Malware para OS X: Nueva botnet multiplataforma en Java

Desde el laboratorio de Kaspersky han hecho público el análisis de una pieza de malware que había llegado a sus servidores y que ha resultado ser un ser el cliente de una botnet multiplatafarma escrita en Java y que funciona en sistemas Microsoft Windows, Mac OS X, y Linux. Para infectar los equipos este malware utiliza el bug CVE-2013-2465 que permite a un atacante conseguir ejecución remota en las víctimas que tengan una versión de la rama Java 6 con la Update 45 o anteriores y en la rama Java 7 con Update 21 o anteriores.

El bot tiene el código ofuscado con Zelix Klassmaster, una solución especializada en Java que obliga a los analistas a descifrar el código antes de poder analizar el malware. Una vez analizado se puede ver cómo el código está pensado para las plataformas Windows, Linux y Mac OS X, usando diferentes puntos de anclaje para conseguir la persistencia al reinicio.

Figura 1: Configuración del bot como un launchd en Mac OS X

- Windows: Usa clave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Mac OS X: Configura un servicio launchd
- Linux: Configura una entrada en los daemons de inicio en /etc/init.d/

El bot se controla mediante el protocolo IRC, para lo que el malware lleva implementado completamente PircBot, una impelementación Open Source del API de IRC, y que permite enviar comandos a los bots.

Figura 2: Conexión del bot al C&C mediante IRC

La principal función de esta botnet es la de realizar ataques de Denegación de Servicio Distribuida (DDoS) a servicios HTTP y UDP, para lo que desde el C&C se realiza mediante comandos IRC la configuración de los parámetros necesarios para el ataque.

Figura 3: Configuración de un ataque de Flood UDP desde el C&C al bot

La distribución de este bot no parece muy extendida, pero es importante tener en cuenta que los creadores de malware que utilizan Java están pensando en todo momento en arquitecturas que funcionen sobre sistemas Mac OS X, y que es fundamental tener actualizar la plataforma Java a la última versión.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares