La empresa FireEye ha reportado el descubrimiento de una nueva muestra de malware que viene portado de Windows para ser utilizado funcionalmente en sistema OS X dentro de ataques dirigidos en esquemas APT para el ciber-espionaje. El spyware es una migración de XSLCmd, un malware que ya había sido descubierto en el pasado en múltiples ataques desde el año 2009. El fichero fue subido inicialmente el 10 de Agosto de este año a Virus Total con 0 detecciones y es un archivo Mach-O ejecutable que permite ejecución en arquitecturas en las que funciona Mac OS X, es decir, de tipo PowerPC, x86 y x86-64bits.
Una vez que consigue ejecución - vía cualquier vector de entrada que dependerá de cada esquema de ataque- se instala en la siguiente ruta: HOME/Library/LaunchAgents/clipboardd con el objetivo de conseguir la persistencia tras el reinicio, ya que queda registrado como un LauchAgent.
Figura 1: Conexión del backdoor con el panel de control |
El nuevo port a OS X muestra secciones de código mezcladas, lo que según FireEye podría significar la manipulación de una persona del código de un tercero para adaptarlo a nuevos usos. Es decir, podría ser un nuevo grupo reutilizando trabajo de otros.
No hay comentarios:
Publicar un comentario