Menú principal

lunes, 6 de octubre de 2014

iWorm se distribuyó en copias piratas de Adobe Photoshop CS y Adobe Illustrator CS

Más de 17.000 equipos OS X han sido los infectados con iWorm, la botnet controlada a través de paneles de control posteados en foros de Reddit que Apple ha tenido que desactivar en estos días en una operación coordinada con Reddit, con las actualizaciones de XProtect y con la industria antimalware. La manera en que los equipos se han visto infectados no ha sido nada nueva, el viejo truco de infectar copias piratas de programas populares con el backdoor y ponerlos en la red, en Torrents a disposición pública. Este técnica lo vimos ya en el mundo Mac con iService, con OSX/CoinThieft que infectó a los Angry Birds, o DevilRobber (a.k.a OSX/Miner.D), todos ellos distribuidos en copias piratas de programas legítimos.

En este caso la víctima elegida para engañar a los usuarios ha sido Adobe, con sus populares programas Adobe Photoshop CS y Adobe Illustratrator CS publicados en Torrent en The Pirate Bay.

Figura 1: Lista de copias piratas infectadas

Cuando la víctima se descargaba la copia pirata del software y lo ejecutaba, el instalador no viene firmado digitalmente por la compañía, lo que genera la primera alerta de seguridad en el sistema OS X.

Figura 2: Alerta al ejecutar el instalador de Adobe Photoshop CS pirata

Aunque parece ser un instalador legítimo, en el análisis realizado por The Safe Mac se puede ver cómo ese instalador pone el malware en la máquina del cliente.

Figura 3: El instalador de la copia pirata infectada

Como se puede apreciar, se crea un servicio corriendo como superusuario con el fichero /Library/LaunchDaemons/com.JavaW.plist en el que se indica que debe ejecutarse /Library/Application Support/JavaW.

Figura 4: Fichero plist que crea el servicio

El nombre puede hacer creer al usuario que se trata de un servicio de Java, pero realmente es la forma en la que el malware consigue la persistencia.

Figura 5: el servicio que troyaniza la máquina

El resto ya es conocido, una vez instalado realiza búsquedas de posts en Reddit utilizando un token concreto para localizar un post que le diga en qué direcciones IP se encuentran lo servidores a los que hay que conectarse.

Figura 6: Búsqueda del post con las direcciones IP con los paneles de control

En el post se encuentra la lista de direcciones IP a los que el backdoor debe realizar las peticiones de comandos a ejecutar en las máquinas OS X de las víctimas.

Figura 7: Posts con los paneles de control en Reddit

Ese token se calcula como un derivado de la fecha, que le permite al máster ir cambiando en nuevos posts las nuevas direcciones IP que se van a utilizar.

Figura 8: Generación del token de búsqueda

Además de todo, si el usuario tiene configurado el bloqueo de conexiones en el firewall, el servicio se ve obligado a pedir permiso al usuario para las conexiones, lo que debería alertar más sobre su riesgo.

Figura 9: Alerta de firewall por conexión de red del servicio

En definitiva, un malware distribuido al estilo de los populares malware de Windows utilizando malas prácticas de los usuarios de la plataforma. Ten cuidado con las fuentes de donde descargas programas, ten un antimalware en tiempo real y fortifica tu plataforma para evitar que sea fácil para cualquier bicho infectar tu OS X.

1 comentario:

  1. Buen artículo, muy interesante y bien explicado paso por paso

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares