El equipo de Intego ha analizado el códido del troyano OSX/Flashback para Mac OS X, el cuál simula ser un programa de instalación de Adobe Flash, en más profundidad, y han aportado nuevos datos sobre su arquitectura. Como se había anunciado al principio, cuando se ejectua en la máquina de la víctima instala el troyano en la ruta ~/Library/Preferences/Preferences.dylib desde la que se ejecuta.
Una vez arrancado realiza una conexión reversa al servidor que lo controla, y utiliza cifrado basado en RC4 para enviar los mensajes de forma totalmente oculta en firewalls. Como clave del algoritmo RC4 utiliza un hash MD5 que calcula a partir del Identificador únioc UUID del equipo, lo que hace que cada clave de cifrado sea distinta, y al mismo tiempo fácil de calcular para él.
![]() |
Figura 1: Petición GET desde OSX/Flashback con el USER-Agent llevando el UUID |
Como última curiosidad, tal y como se puede ver en la imagen anterior, el UUID es transmitido al servidor en el campo USER-AGENT de la petición HTTP que hace, lo que le permite al servidor calcular la clave de descifrado RC4 haciendo el hash MD5 de este valor. Además, el troyano tiene capacidades de dropper, es decir, de descargar nuevo software, pero en las pruebas que han realizado no han visto funcionando esta característiica.
Como se evidencia, el malware para Mac OS X está evolucionando hacia los niveles de sofisticación utilizados desde hace tiempo en otras plataformas, por lo que se recomienda extremar las precauciones en el sistema.
No hay comentarios:
Publicar un comentario