Desde hace tiempo se ha estado hablando de las muestras de malware utilizadas en campañas de ataque contra miembros y simpatizantes del movimiento Tibetano. Ha pasado algún tiempo sin tener noticias de nuevas acciones desde que se publicó que se infectaron las webs de ciertos sitios afines al movimiento con malware, pero ahora Intego recoge una nueva variante de los backdoors que se utilizan, junto con nuevas formas de infección.
En esta nueva variante descubierta en Virus Total, el ataque llega desde un Applet Java que se ejecuta sin pedir ninguna interacción con el usuario aprovechándose de las vulnerabilidades ya parcheadas de Java CVE-2013-2465 y CVE-2013-2471. Una vez ejecutado se descarga el backdoor que le permite controlar al atacante la máquina infectada. Para ello crea los siguientes ficheros:
/Library/Audio/Plug-Ins/Components/AudioService /Library/LaunchAgents/com.apple.AudioService.plist
Como se puede suponer, para conseguir la persistencia al reinicio, el malware crea un LaunchAgent que arranca el backdoor y contacta con el servidor de C&C situado en China (mail.tbnewspaper.com), a la espera de recibir comandos.
 |
| Figura 1: Applet Java de OSX/Tibet.D |
Desde Seguridad Apple te recomendamos que tengas actualizado todo el software - si no has actualizado Java hazlo ya - y si puedes que pongas un antimalware con protección en tiempo real y con la base de datos de firmas actualizadas constantemente.
No hay comentarios:
Publicar un comentario