La empresa
F-Secure ha descubierto en Virus Total un curioso
malware para
OS X, bautizado como
Janicab que utiliza una combinación de características muy curiosas para su distribución y control de las víctimas. En primer lugar hay que citar que según se informa el
malware viene firmado digitalmente con un
Apple ID de desarrollador, para conseguir ejecución en sistemas
OS X Mountain Lion con
GateKeeper activado con la opción de ejecutar sólo programas firmados.
|
Figura 1: Protección de GateKeeper en OS X Mountain Lion para ejecución sólo de apps firmadas |
En segundo lugar utiliza codificación
Right-to-Left, una sistema que permite en el nombre de un archivo cambiar el sentido de algunas letras del nombre de un archivo para que se visualicen en
Finder al contrario. El nombre original en hexadecimal se puede ver en la imagen siguiente.
|
Figura 2: Nombre de archivo con codificación Right-to-Left |
Sin embargo, esto haría que cuando se vieran en Finder apareciera sin extensión - si no se ha activado la visualización de extensiones - mientras que si no se hubiera hecho la codificación Right-to-Left aparecería con la extensión .app, ya que OS X considera que es importante dejar claro que es un ejecutable.
|
Figura 3: Codificación Right-to-Left (medio) y normal (derecha) en Finder |
Al hacer un listado de ficheros en el interfaz de comandos sí que se podría ver que la extensión es distinta a la que se visualiza en Finder, ya que no interpreta la codificación Right-To-Left en la consola de comandos.
|
Figura 4: Visualización den Bash del archivo con codificación Right-to-Left |
Al revisar el fichero, se puede ver que el programa está escrito en Python, y utiliza el framework py2app para su distribución en sistemas OS X.
|
Figura 5: El Developer ID es Gladys Brady |
Al ejecutar la aplicación maliciosa, XProtect aplicará la protección de cuarentena que se aplica a todos los programas descargados de Internet. La curiosidad es que al haberse creado con codificación Right-to-Left, todo el mensaje aparece invertido, haciendo que sea difícil de leerse.
|
Figura 6: El mensaje se muestra al revés |
Una vez ejecutado el malware en el sistema se descarga un fichero PDF desde Internet y es mostrado, para simular realmente que es un fichero de este tipo.
|
Figura 7: Fichero PDF usado para la ingeniería social |
Por debajo mientras crea una carpeta oculta donde mete todos los componentes del malware para capturar pantallas, ficheros de audio y vídeo, entre otras cosas e instala tareas en cron para conseguir la persistencia en el sistema.
|
Figura 8: Tareas en CRON creadas por el malware |
Para saber en qué dirección está su panel de control, utiliza un sistema muy curioso. Se conecta a varios vídeos de Youtube - y a una dirección actualmente desconectada - desde donde parsea la dirección del panel de control. Esta dirección está en la información pública del vídeo.
|
Figura 9: En la descripción del vídeo se publica la dirección del panel de control del malware |
Actualmente ese panel de control está apagado, por lo que la botnet que se hubiera creado parece descabezada.
|
Figura 10: Panel de control desconectado |
Este truco de poner la dirección del panel de control en el mensaje descriptivo del vídeo de Youtube aparece en muchos otros vídeos de Internet.
|
Figura 11: Más vídeos en otras redes publicando el mismo panel de control |
Analizando las estadísticas de estos vídeos se puede saber más o menos cuántos equipos hay infectados con este malware, que como puede verse no parece muy alto.
|
Figura 12: Estadísticas acumuladas de visitas al vídeo (buscando el panel de control) |
|
Figura 13: Estadísticas diarias de acceso a este vídeo por día |
Sea como fuera, ten cuidado con la descarga de aplicaciones desde
Internet y ten un antimalware activado con protección en tiempo real. Este
malware ya es detectado por los
antimalware como
Python/Janicab.A. Si quieres conocer más sobre cómo funciona el mundo del
e-crime, te recomendamos el
libro sobre el Fraude Online.