Menú principal

sábado, 14 de abril de 2012

OSX/Sabpab: Un nuevo troyano para Mac OS X

Aún nos estamos recuperando de la resaca mediática que nos ha dejado toda la historia de FlashBack Trojan, y ya tenemos el siguiente de la lista OSX/Sabpab. Según se ha publicado en Naked Security, este nuevo backdoor está haciendo uso de la ya citada vulnerabilidad de Java CVE-2012-0507 para distribuirse en los equipos Mac OS X.

Cuando se instala en una máquina vulnerable, para lograr la ejecución y la persistencia en el sistema crea estas dos entradas en la estructura de ficheros del equipo infectado.
/Users/[user]/Library/Preferences/com.apple.PubSabAgent.pfile
/Users/[user]/Library/LaunchAgents/com.apple.PubSabAGent.plist
Figura 1: Fichero creado por el malware en un Mac OS X infectado

OSX/Sabpab es un troyano de libro que se controla desde un panel de control HTTP desde el que recibe los comandos a ejecutar y al que envía las respuestas solicitadas en ficheros de log cifrados. Analizando el código del mismo se puede ver el conjunto de funcionalidades que acompañan a este malware, y que como se puede ver son bastantes jugosas.

Figura 2: Comandos que ejecuta el backdoor a petición del panel de control

La industria del malware hace ya tiempo que puso sus ojos en las plataformas Mac OS X y lo han hecho para quedarse, así que hay que tomar mediadas básicas de seguridad continuas para dificultar a los cibercriminales que tomen control de nuestros equipos.

5 comentarios:

  1. Muy interesante este blog. Aunque ya hace tiempo que os sigo, éste es mi primer comentario.
    Según el artículo entiendo que puesto que el troyano explota un error de java que Apple ya ha parcheado, basta con estar actualizado para no ser vulnerable a éste.
    También entiendo que puesto que los ficheros los instala en el directorio del usuario, no infecta el sistema si no sólo un usuario del sistema.
    ¿Son correctas estas apreciaciones?
    Mi pregunta sería si en caso de infección bastaría con eliminar los dos archivos mencionados para eliminar el problema.

    ResponderEliminar
  2. @josepsgk es muy bueno tu comentario, es normal que los troyanos no afecten al sistema operativo directamente, si no abrir puertas traseras, en el caso de los sistemas operativos basados en BSD esto puede llegar a ser mas grave y en el caso de MAC muchisimo más, la razón es que con este tipo de troyano el atacante puede obtener información sensible de los usuarios, al poseer acceso del usuario este puede explotar el sistema aprovechando las malas practicas de los usuarios macs que es poseer el sudoers sin restricciones, por el solo desconocimiento del mismo sistema, así mismo puede controlar el sistema operativo completamente y obtener la información sensible al mismo tiempo.

    ResponderEliminar
    Respuestas
    1. O sea que la mejor manera sería trabajar desde un usuario sin privilegios de administrador, adicional al creado por defecto en la instalación del sistema. De esta forma el password del usuario no puede ser usado para órdenes sudo desde el terminal, que supongo que es el método usado por el troyano para el acceso al sistema operativo.
      El problema de éste método es que es poco práctico para mi. Yo uso un programa llamado Hands Off (http://www.metakine.com/products/handsoff/) que detecta cualquier tipo de conexión o escritura por parte de un programa o proceso. Entonces si detectar un intento de conexión por parte de algo que no sé que es, puedo actuar en consecuencia.
      Sé que no es la mejor manera per mo permite ir configurando unas reglas que permiten que su actuación sea casi transparente al tiempo que me aseguro no tener visitantes indeseados.

      Eliminar
  3. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  4. Ojo con tener la tecla de suprimir demasiado a mano, que en ese mismo directorio "/Users/usuario/Library/Preferences/" hay un plist con un nombre muy similar y este sí es de sistema: com.apple.PubSubAgent.plist

    Saludos y felicidades por el buen trabajo que hacéis con el blog!

    ResponderEliminar

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares