Ha sido descubierta una nueva variante del malware OSX/Sabpab que fue usado con diferentes evoluciones en el pasado en ataques dirigidos contra organizaciones pro-Tibet. Esta nueva variante del troyano está escrita en Java, y según reporta Intego ha sido descubierta en Virus Total. Tras un análisis del mismo se sabe que el malware actúa como un backdoor que una vez ejecutado se conecta a un dominio llamado www.coremail.info, donde se supone que está, estaba o estaría el panel de control.
Una vez ejecutado en el sistema crea un LaunchAgent escribiendo un fichero llamado com.apple.PubSabAgent.plist con el objetivo de conseguir la persistencia después del reinicio del sistema.
 |
| Figura 1: Fichero creado por OSX/Sabpab |
También se copia en la carpeta de preferencias del usuario utilizando el nombre com.apple.PubSabAgent.pfile, y como curiosidad en su comportamiento, el malware tiene opciones de tomar capturas de pantalla y enviarlas posteadas a foros de desarrolladores Microsoft, como se puede ver en esta pieza del código.
 |
| Figura 2: URLs donde se postean las capturas de pantalla de la víctima |
Este tipo de malware, como se ha dicho al inicio, se ha utilizado en ataques dirigidos, pero si no quieres tener problemas con ellos, te recomendamos que tengas actualizado todo el software de tu sistema operativo - en el pasado OSX/Sabpab se distribuyó usando exploits para Java y Microsoft Office para mac - y un antimalware profesional para Mac en tiempo real.
No hay comentarios:
Publicar un comentario