Menú principal

jueves, 12 de septiembre de 2013

OSX/Tibet.D: Nueva variante del malware del Tibet

Desde hace tiempo se ha estado hablando de las muestras de malware utilizadas en campañas de ataque contra miembros y simpatizantes del movimiento Tibetano. Ha pasado algún tiempo sin tener noticias de nuevas acciones desde que se publicó que se infectaron las webs de ciertos sitios afines al movimiento con malware, pero ahora Intego recoge una nueva variante de los backdoors que se utilizan, junto con nuevas formas de infección.

En esta nueva variante descubierta en Virus Total, el ataque llega desde un Applet Java que se ejecuta sin pedir ninguna interacción con el usuario aprovechándose de las vulnerabilidades ya parcheadas de Java CVE-2013-2465 y CVE-2013-2471. Una vez ejecutado se descarga el backdoor que le permite controlar al atacante la máquina infectada. Para ello crea los siguientes ficheros:
/Library/Audio/Plug-Ins/Components/AudioService /Library/LaunchAgents/com.apple.AudioService.plist
Como se puede suponer, para conseguir la persistencia al reinicio, el malware crea un LaunchAgent que arranca el backdoor y contacta con el servidor de C&C situado en China (mail.tbnewspaper.com), a la espera de recibir comandos.

Figura 1: Applet Java de OSX/Tibet.D

Desde Seguridad Apple te recomendamos que tengas actualizado todo el software - si no has actualizado Java hazlo ya - y si puedes que pongas un antimalware con protección en tiempo real y con la base de datos de firmas actualizadas constantemente.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares