Menú principal

viernes, 17 de mayo de 2013

OSX/KitM.A: Troyano para Mac OS X contra activistas

En el reciente Oslo Freedom Forum, el famoso John Appelbaum ha presentado un malware utilizado contra activistas en África creado para sistemas operativos Mac OS X. La muestra ha sido analizada por los investigadores de F-Secure y han puesto la información disponible, con lo que sabemos mucho más de este troyano en concreto, bautizado como OSX/KitM.A.

El malware está firmado digitalmente con un Apple ID de un desarrollador Apple, lo que garantiza que pueda ser ejecutado en sistemas OS X Mountain Lion con la opción de seguridad por defecto de GateKeeper. Esto permite saber que estaba dirigido contra un objetivo concreto.

Figura 1: El Developer ID pertenece a Rajinder Kumar

El sistema utiliza como fórmula de obtener persistencia las Login Entries, donde se puede ver que aparece como un sencillo macs.

Figura 2: Entrada en las Login Items para lograr persistencia

El troyano está pensado para espiar las acciones del usuario y crea una carpeta con los screenshots que realiza del equipo infectado. Esta carpeta está en la ruta $HOME/MacApp.

Figura 3: Directorio donde se almacenan los screenshots

Las funciones que realiza este malware son muchas, y analizando la interfaz que ofrece se puede ver que este troyano está construido para ser utilizado en muchos entornos.

Figura 4: Interfaz de funciones del malware

Actualmente los paneles de control están situados en Holanda y Francia, y pertenecen los dominios a las siguientes organizaciones.

Figura 5: Información de uno de los paneles de control

Figura 6: Información de el otro de los paneles de control
En el momento del análisis encontrar los paneles de control no es posible, ya que el servidor web no responde peticiones.

Figura 7: Servidor web del panel de control

Este malware está pensado para ataques dirigidos contra activistas, pero en cualquier caso te recomendamos que tengas tu OS X actualizado, fortificado y lo más protegido posible, y que de vez en cuando revises a ver si te hubieras infectado con algo no deseado.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares