Últimamente el mundo de la informática se mueve en un entorno conspiratorio en el que nadie se fía de nadie. Asuntos como el de la NSA y PRISM alertan al gran público sobre si Internet es un Big Brother de los gobiernos. La gente de Apple no se queda al margen de estas sospechas y un nuevo sistema de control remoto, Spyware Hacking Team, aterrizó en Virus Total con una tasa de detección de 0 de 47 escáneres, aunque ahora ya lo detecta alguno.
 |
| Figura 1: Actualmente esta nueva mutación es reconocida por un antimalware |
Intego descubrió este malware que se instala de manera silenciosa y funciona sobre Mac OS X Snow Leopard 10.6.x y Mac OS X Lion 10.7 . En función de si el malware se instala en una cuenta con permisos de administrador realizará unas acciones u otras. Por ejemplo, si se instala como administrador, ejecutará un rootkit para ocultarse. En cualquier caso, se crean una serie de archivos, el cual especificamos más adelante, los cuales utilizarán para llevar a cabo sus tareas.
 |
| Figura 2: Estructura de infección multiplataforma del malware Crisis |
Este malware fue bautizado anteriorementecomo OSX/Crisis, y fue utilizado algunos gobiernos en ataques dirigidos. El malware - totalmente multiplataforma - es capaz de recoger audio, imágenes, capturas de pantalla, pulsaciones de teclado y realizar un informe jugoso para el atacante el cual es enviado a un servidor remoto y se hizo popular por poder infectar máquinas virtuales y terminales móviles. Se sabe que se distribuye a través de kits de explotación en el mercado negro.
En el código de OS X/Crisis.A se encuentra una sección dedicada que que hace llamadas de bajo nivel (o al sistema) para desplegar el malware, una backdoor y su configuración cifrada.
 |
| Figura 3: Ingeniería Inversa del Malware |
Para evitar la detección de antivirus el backdoor se encuentra ofuscado con un packer denominado MPress. Se puede utilizar un debugger como GDB o un framework como Volatility para volcar los binarios desempaquetados. Completar el análisis está siendo algo complejo, pero ya hay extractos en Internet del archivo de configuración descifrados.
 |
| Figura 4: Extracto de archivo de configuración descifrado |
Como se puede visualizar en la imagen anterior, las máquinas infectadas tienen razones para comunicarse con la dirección IP 176.58.121.242. Si como usuario de OS X sospechas que puedes estar infectado por este tipo de malware, te recomendamos que vigiles la existencia de estos archivos en tu sistema:
- Library/LaunchAgents/com.apple.UIServerLogin.plist
- Library/Preferences/2Md1ctl2/0T4Nn2U0.tze
- Library/Preferences/2Md1ctl2/5KusPre5.vAl
- Library/Preferences/2Md1ctl2/Contents/Info.plist
- Library/Preferences/2Md1ctl2/Contents/Resources/9uW_anE9.cIL.kext/Contents/Info.plist
- Library/Preferences/2Md1ctl2/Contents/Resources/9uW_anE9.cIL.kext/Contents/MacOS/9uW_anE9.cIL
- Library/Preferences/2Md1ctl2/hFSGY5ih.rfU
- Library/Preferences/2Md1ctl2/q45tyh
- Library/Preferences/2Md1ctl2/WaAvsmZW.EMb
- Library/Scripting Additions/UIServerEvents/Contents/Info.plist
- Library/Scripting Additions/UIServerEvents/Contents/MacOS/0T4Nn2U0.tze
- Library/Scripting Additions/UIServerEvents/Contents/Resources/UIServerEvents.r
No hay comentarios:
Publicar un comentario