Menú principal

sábado, 9 de marzo de 2013

Variante de OSX/Sabpab para OSX aparece en Virus Total

Ha sido descubierta una nueva variante del malware OSX/Sabpab que fue usado con diferentes evoluciones en el pasado en ataques dirigidos contra organizaciones pro-Tibet. Esta nueva variante del troyano está escrita en Java, y según reporta Intego ha sido descubierta en Virus Total. Tras un análisis del mismo se sabe que el malware actúa como un backdoor que una vez ejecutado se conecta a un dominio llamado www.coremail.info, donde se supone que está, estaba o estaría el panel de control.

Una vez ejecutado en el sistema crea un LaunchAgent escribiendo un fichero llamado com.apple.PubSabAgent.plist con el objetivo de conseguir la persistencia después del reinicio del sistema.

Figura 1: Fichero creado por OSX/Sabpab

También se copia en la carpeta de preferencias del usuario utilizando el nombre com.apple.PubSabAgent.pfile, y como curiosidad en su comportamiento, el malware tiene opciones de tomar capturas de pantalla y enviarlas posteadas a foros de desarrolladores Microsoft, como se puede ver en esta pieza del código.

Figura 2: URLs donde se postean las capturas de pantalla de la víctima

Este tipo de malware, como se ha dicho al inicio, se ha utilizado en ataques dirigidos, pero si no quieres tener problemas con ellos, te recomendamos que tengas actualizado todo el software de tu sistema operativo - en el pasado OSX/Sabpab se distribuyó usando exploits para Java y Microsoft Office para mac - y un antimalware profesional para Mac en tiempo real.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares