Menú principal

jueves, 3 de marzo de 2016

Backdoor.OSX.Morcut: El retorno de HackingTeam a OSX

La semana pasada el investigador Patrick Wardle  publicó un análisis de una backdoor utilizada por el Hacking Team y que al parecer sigue viva. Recordando que la gente de Hacking Team fabricó malware bajo demanda puede que haya muchos componentes aún por explorar que tengan una doble cara. La investigación llevada a cabo por Wardle demuestra que un software específico utilizaba el método de cifrado, que él mismo indicó en BlackHat el año pasado para mejorar el malware en OS X

La puerta trasera recibía las instrucciones a través de un payload o archivo de configuración que se encontraba cifrado. Al final el archivo no era más que un JSON. Con el objetivo de descifrar el archivo de configuración, Wardle hizo diferentes pruebas, pero tuvo que recurrir al reversing para identficar la función utilizada para cifrar y descifrar. El cifrado era AES 128. Wardle localizó la inicialización de la rutina de cifrado, dónde la clave se pasa como argumento. Una vez se consiguió la clave se tuvo más información.

Figura 1: Función de descifrado

La clave es de 32 bytes de longitud, siendo los primeros 16 los que se utilizan como clave. Mediante el uso de esta clave se descifra el archivo, que cómo se comentó anteriormente es un JSON. Este fichero lleva las instrucciones sobre las que se apoya la backdoor para operar en la máquina OS X.

¿Qué hace la backdoor? Se puede realizar capturas de la pantalla del equipo, además, de sincronizarse con un servdor situado en Reino Unido para enviar información de la máquina infectada. La información que es enviada va desde aplicaciones instaladas localmente, entradas en la libreta de direcciones, calendario, eventos y llamadas. OS X permite a los usuarios de iPhone hacer las llamadas desde el equipo cuando ambos están conectados a la misma red WiFi. Además, la grabación de video y audio.

Figura 2: Análisis del instalador en VirusTotal

Hay un detalle curioso en el fichero JSON que indica que el inicio de la fecha de operación es el 16 de Octubre de 2015. Esto indica que se trata de una backdoor fresca. Por alguna razón, el atacante no estaba interesado en cualquier correo electrónico enviado desde o hacia el objetivo antes de esa fecha. Solo se buscaban correos a partir de dicha fecha. El nombre que ha recibido por las casas de antivirus esta muestra es Backdoor.OSX.Morcut y Trojan-Dropper.OSX.Morcut.d.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Vente al "Security Innovation Day 2016: Let Security Be"

El Security Innovation Day es el evento desde el que Telefónica y ElevenPaths comparten los últimos lanzamientos y novedades en innovació...

Otras historias relacionadas

Entradas populares